Rootkit

Los rootkit permiten ocultar en la mayor medida posible a otros subtipos de malware, además de poder ocultarse a sí mismos dentro de una máquina infectada. Los atacantes los suelen utilizar para mantener encubierto el acceso ilícito a un equipo, ocultando los procesos, archivos, puertos y demás componentes lógicos que los pudieran delatar.

Cabe aclarar que un rootkit no es un software maligno en sí mismo, sino que, en definitiva, permite ocultar las acciones malignas que se lleven a cabo en el equipo. Sea a través de un atacante como mediante otros códigos maliciosos que estén trabajando en el sistema, comúnmente gusanos o troyanos.

Inicialmente los rootkit aparecieron en el sistema operativo UNIX y eran una colección de una o más herramientas que le permitían al atacante conseguir y mantener el acceso mediante el usuario con más privilegios del equipo (en los sistemas UNIX se llama root y de ahí su nombre). En Windows, los rootkit se han asociado en general con herramientas usadas para ocultar programas o procesos al usuario.

Un rootkit ataca directamente el funcionamiento de base de un sistema operativo. En Linux, modificando y trabajando directamente en el kernel del sistema. En Windows, interceptando los APIs (Interfaz de Aplicaciones de Programación) del sistema operativo. Estas, interactúan entre el usuario y el kernel; de esta forma, el rootkit manipula el kernel sin trabajar directamente en él como en el caso del software libre.