I rootkit hanno una particolare pericolosità. Principalmente sono invisibili ai vari antivirus e gestiscono la copertura dei trojan o spyware vari.
Da sottolineare comunque, (nonostante la relativa pericolosità dei rootkit) la delicata operazione da svolgere per una rimozione pulita, senza danneggiare o compromettere l'integrità del sistema operativo.
Sintetizzando la funzione di un rootkit è quello di occultare oggetti di sistema all'utente. Possono essere resi invisibili file, processi in memoria, servizi, chiavi di registro e porte TCP/IP.
I Rootkit sono in grado di agire a livello profondo installandosi come parte integrante del sistema operativo stesso. Questo li rende invisibili, in quanto ritenuti parte integrante della nostra macchina.
Apriamo una breve finestra su alcuni nomi di tool che si occupano della loro rimozione ed individuazione:
- RootkitRevealer (scansiona il filesystem di tutte le unità disco presenti nel sistema alla ricerca di file e chiavi di registro nascoste)
- Blacklight (distribuita da F-Secure, rileva processi nascosti in memoria e file invisibili presenti sul proprio HD)
- Strider Ghostbuster (progetto di casa Microsoft)