I rootkit sono un nuovo tipo di malware, particolarmente pericoloso poiché molto difficile da rilevare. La minaccia è sempre più diffusa e gli antivirus non riescono a proteggerci. I rootkit possono nascondere sia se stessi sia i virus e altri malware introdotti nel PC. Lo scopo della mimetizzazione è semplice ma diabolico: impossessarsi dei computer senza essere disturbati dagli antivirus e da altri programmi di sicurezza. Alcuni rootkit, come il diffuso Hacker Defender, ricorrono a trucchi più subdoli: oltre a svolgere una funzione mimetizzata, questo malware senza farsi notare dal firewall, può aprire porte verso internet, tramite le quali gli hacker controllano i pc infetti. Naturalmente attraverso queste porte segrete possono spiare anche i dati personali come le password, o introdurre un numero illimitato di malware. Un programma antivirus individua i malware in base alle loro firme. Con queste “schede segnaletiche” può riconoscere e annientare i parassiti. I produttori aggiornano perciò via internet i software di sicurezza, rifornendoli di nuove firme. Inoltre l’antivirus riconosce i malware in base a un’analisi del comportamento. Se un programma cerca per esempio di cancellare tutti i file MP3, si tratta sicuramente di un malware. Per ingannare gli antivirus, i rootkit manipolano i processi tramite i quali i programmi si scambiano i dati. Da questi flussi di dati cancellano tutte le informazioni su se stessi e su altri malware, l’antivirus quindi riceve soltanto informazioni alterate. Un ostacolo da superare e che ha posto molti cacciatori di rootkit davanti ad un problema irrisolvibile: portare alla luce i rootkit attivi e i malware che nascondono. ComputerBild ha testato molti programmi per scovare ed eliminare i rootkit, solo tre su dodici hanno smascherato tutti i rootkit attivi, il vincitore del test è Gmer, seguito da AVG anti-rootkit e Rootkit Buster. I rootkit si diffondono tramite siti internet contraffatti, arrivando al cuore del computer con la semplice visita di una pagina, e le falle nella sicurezza dei browser non riescono ad impedirlo.