Programy typu rootkit są szkodliwymi aplikacjami, które
przyznają internetowym intruzom nieograniczony dostęp do systemu
operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu
do komputera (zwykle z wykorzystaniem luki w jego zabezpieczeniach)
programy typu rootkit używają funkcji systemu operacyjnego, aby
uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają
procesy, pliki i dane w rejestrze systemu Windows. Z tego powodu
wykrycie ich przy użyciu zwykłych technik testowania jest prawie
niemożliwe.
W przypadku zapobiegania włamaniom programów typu rootkit należy
pamiętać, że istnieją dwa poziomy ich wykrywania:
-
Podczas próby uzyskania dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie (przy założeniu, że rozpoznają takie pliki jako zainfekowane).
-
Gdy są niewidoczne dla zwykłych narzędzi testowych. Użytkownicy programu antywirusowego firmy ESET korzystają z technologii Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit.