Onder de verzamelnaam rootkit vallen alle softwaretools die het mogelijk maken processen en bestanden te vermommen om op deze manier te ontsnappen aan de ontdekking door de gebruiker resp. zijn antivirus-software.

 

Rootkit-technologie bevat zelf geen schadelijke functies, maar zorgt er als vermomming voor dat aanvullende, mogelijk schadelijke software niet waarneembaar is en dus zonder medeweten van de gebruiker op de achtergrond kan worden uitgevoerd.

 

Ook in onschadelijke, commerciële toepassingen die op de voorgrond werken, zijn al rootkits ingezet. Een bekend voorbeeld: de door het bedrijf Sony BMG gebruikte XCP die op diverse muziek-cd’s met behulp van rootkit-technologie verborgen moest blijven.

 

Historisch gezien stamt het concept achter de rootkits uit de unix-wereld waar gemodificeerde versies van bepaalde systeemcommando’s ertoe bijdroegen de hoogste administratieve rechten (roots) voor het systeem te verkrijgen, zonder sporen achter te laten.

 

Er bestaan verschillende technieken voor de implementatie van rootkits die op verschillende plaatsen in het systeem worden geactiveerd. Bijvoorbeeld de intussen nog nauwelijks verspreide application-rootkits en de meer gangbare application-, kernel- of userland-rootkits.

 

Zij hebben allemaal één ding gemeen: het gebruiksdoel, namelijk het verbergen van bepaalde bestanden, netwerkverbindingen of processen. De uitvoer van het MS-DOS-commando “dir” (uitvoer van mapinhoud) kan bijvoorbeeld zodanig worden gemanipuleerd dat de feitelijk beschikbare bestanden, die een schadelijke code bevatten, niet worden weergegeven. Soortgelijke zaken zijn bij de weergave van de Windows Registry of bij de opsomming van bestaande netwerkverbindingen mogelijk.

 

In de technische aard van rootkits ligt tegelijkertijd de moeilijkheid van hun herkenning en verwijdering. In lopend bedrijf, d.w.z. bij actieve, door rootkits besmette besturingssystemen, is de herkenning en in het bijzonder de verwijdering van een actieve rootkit erg lastig tot onmogelijk.

 

Met de veiligheidsproducten van G Data kan een op Linux gebaseerde opstart-cd worden gemaakt, waarmee de computer los van het geïnstalleerde besturingssysteem kan worden opgestart. Met de op de cd opgenomen virusscanner kan het systeem in een toestand worden gescand waarin eventueel op de harde schijf aanwezige rootkits niet actief zijn en dus gemakkelijker kunnen worden ontdekt.