Kits de programas que trabajan en un segundo plano, para poder robar, controlar y atacar la información de un sistema.
Usado por hackers, el nombre se le adjudica a su característica de falicitar el acceso al directorio Raíz.
Mediante la composición de un conjunto de troyanos que se instalan en el sistema, los Rootkits tambiém proveen de accesos ocultos a futuro.
Básicamente funciona reemplazando los archivos del sistema por "modificados" (troyanos).
Existen tres clases principales de Rootkits:
- kits binarios: sustituyten los archivos de un sistema por su "clon" troyano.
- kits dek Núcleo (kernel): el reemplazo se hace sobre los módulos (componentes del sistema).
- kits de librerías: usan las .dll's para almacenar a los troyanos.
La meta de los modificados es el comportamiento original con la salvedad de la ocultación de la información que beneficia a quien esta de intruso.
Los Rootkits pueden interceptar consultas o llamadas del sistema filtrando las consultas que genera el programa espía, como forma de ocultar o hacer difícil de detectar los cambios de configuración.
Una forma de detección es entre los procesos en ejecución en la memoria del sistema, chequeando las comunicaciones salientes del ordenador o revisando las últimas instalaciones de software.
Aunque es difícil su detección hasta para los antivirus, por eso los mismos creadores de los Rootkits han creado herramientas para su detección.