Reicht es denn nicht schon aus, wenn entweder während der Installation oder nach der Installation des Betriebssystems auf dem Betriebssystem die primäre Schnittstelle deaktiviert wird?
was man per Software deaktiviert, kann auch durch ein Trojanisches Pferd wieder aktiviert werden;
hat aber der KVM-Guest keine Ahnung von dieser Schnittstelle, ist es für ein Trojanisches Pferd schon schwierig, hier ran zu kommen