Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostęp do systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle z wykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, aby uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe.
W przypadku zapobiegania włamaniom programów typu rootkit należy pamiętać, że istnieją dwa poziomy ich wykrywania:
-
Podczas próby uzyskania dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie (przy założeniu, że rozpoznają takie pliki jako zainfekowane).
-
Gdy są niewidoczne dla zwykłych narzędzi testowych. Użytkownicy programu antywirusowego firmy ESET korzystają z technologii Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit.