Sikkerhedsforskere fra Symantec og F-Secure har opdaget hvad de betegner som den næste generation af rootkits.
Det nye rootkit, der kaldes Backdoor.Rustock.A af Symantec og Mailbot.AZ af F-Secure, bruger en række forskellige teknikker til at skjule sig med.
Som mange andre rootkits gemmer det sig ved at bruge NTFS’ Alternate Data Streams (ADS), men det stopper ikke her. Når rootkittet kører, kan man ikke se nogen tilhørende proces, da den gemmer sig i drivere og kerneltråde. Den efterlader ingen spor i kernelstrukturen og bruger en polymorf SYS driver, der ændrer sig.
Udover dette holder rootkittet også øje med, om der køres kendte rootkitskannere og ændrer derefter sin virkemåde, så det ikke opdages.
F-Secure siger at den nyeste version af deres BlackLight rootkit skanner, Build 2.2.1041, kan detektere Rustock. Man regner med at en række sikkerhedsprodukter, vil have svært ved at opdage det nye rootkit.