Rootkit

Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización.

La detección del encubridor es complicada pues es capaz de corromper al programa que debería detectarlo.

La eliminación del encubridor puede ser muy difícil o prácticamente imposible, especialmente en los casos en que el rootkit reside en el núcleo; siendo a veces la reinstalación del sistema operativo el único método posible que hay para solucionar el problema.

Una puerta trasera puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario.

Los encubridores se utilizan también para usar el sistema atacado como «base de operaciones», es decir, usarlo a su vez para lanzar ataques contra otros equipos.

Normalmente este procedimiento se complementa añadiendo nuevo código al núcleo, ya sea mediante un controlador o un módulo, como los módulos del núcleo de Linux o los dispositivos del sistema de Windows.

Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso.

Algunos rootkits modifican el propio núcleo (a través de módulos y otros métodos como se indica más arriba).

Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas.

En los sistemas basados en Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter.

Ejemplo de uso de rootkit en el sistema operativo Ubuntu .