Đối với mã độc trong firmware của các thiết bị định tuyến, các phiên bản trước của mã độc luôn được lưu trữ trong bộ nhớ của thiết bị. Vì vậy khi khởi động lại thiết bị định tuyến sẽ loại bỏ bất cứ lây nhiễm nào vì bộ nhớ xóa sạch trong quá trình khởi động lại. Bằng cách lưu mã độc trong hệ điều hành riêng trên ổ đĩa flash, tin tặc đã tạo ra một điểm truy cập có thể tái sử dụng cho các cuộc tấn công của mình.
Firmware được xem như một hệ điều hành thu nhỏ của thiết bị nhưng nó không giống với phần lớn các hệ điều hành hiện đại. Firmware hiếm khi được phát triển để có thể thực hiện tốt việc tự cập nhật nhằm sửa lỗi chức năng được phát hiện sau khi thiết bị đã được sử dụng. Do đó, không thể biết được rằng thiết bị chúng ta đang sử dụng có đang chạy trên một bản firmware an toàn hay không. Cùng với đó, tầm quan trọng của firmware trong các thiết bị đã biến chúng trở thành mục tiêu để cài cắm các đoạn mã độc thu thập thông tin trên các thiết bị đặc biệt là thiết bị lưu trữ thông tin, thiết bị mạng đóng vai trò định tuyến luồng dữ liệu vào ra trong các hệ thống mạng.
Các loại mã độc trên firmware cũng tương tự như mã độc trên máy tính, điện thoại hay các thiết bị điện tử khác. Chúng đều là các phần mềm hoặc chương trình hay đoạn mã thiết kế để thực hiện các hành vi như tấn công, xâm nhập hệ thống, đánh cắp thông tin. Nhưng mã độc trên firmware thường không có khả năng lây lan, vì các loại mã độc này hoạt động ở tầng rất thấp trong hệ thống và thường viết dành riêng cho từng loại thiết bị riêng nên tính lây lan gần như không có. Do đó, mã độc trên firmware không phổ biến và ít được nghiên cứu bởi các nhà bảo mật. Việc phân loại mã độc trên firmware cũng gặp rất nhiều khó khăn và đến nay vẫn chưa có một tài liệu nào phân loại một cách đầy đủ và chính xác được những loại mã độc hiện có trên firmware của các thiết bị mạng. Vì thế, chúng ta sẽ không đi sâu vào việc phân loại mã độc trên firmware mà sẽ đi sâu tìm hiểu về các khả năng mà một thiết bị mạng có thể bị nhiễm mã độc. Thông thường thì một thiết bị mạng có thể bị nhiễm mã độc chỉ có hai khả năng chính đó là do nhà sản xuất và do kẻ tấn công:
- Khả năng do nhà sản xuất thiết bị mạng cố tình cài cắm các loại mã độc lên chính các thiết bị mà họ tạo ra đang rất phổ biến hiện nay. Nguyên nhân khiến các nhà sản xuất tiến hành cài cắm mã độc như: thu thập dữ liệu người dùng, thuận tiện cho việc nâng cấp các phiên bản firmware dễ dàng hơn…
- Khả năng thứ hai tuy ít phổ biến nhưng rất nguy hiểm nếu như kẻ tấn công có thể khai thác được lỗ hổng tồn tại trên firmware của thiết bị mạng và cài cắm mã độc. Việc này rất khó để thực hiện, yêu cầu kẻ tấn công phải có kiến thức sâu về firmware cũng như cấu trúc, nguyên lý hoạt động của các thiết bị mạng. Do firmware hoạt động ở tầng rất thấp trong thiết bị nên rất khó để tiếp cận và cài cắm mã độc lên đó nếu không được sự cho phép của hệ thống.
Một số ví dụ như: Các nhà nghiên cứu ESET (một công ty bảo mật có trụ sở chính tại Bratislava, Slovakia) đã công bố Linux/Remaiten - một loại mã độc bot chứa bên trong là một bộ tải về có kiến trúc CPU sử dụng phổ biến trong thiết bị nhúng Linux như ARM, MIPS. Hay như Linux/Trojan PNScan có thể lây nhiễm lên các thiết bị có kiến trúc ARM, MIPS, PowerPC theo kết quả phân tích của các nhà nghiên cứu tại Doctor Web…