Un Rootkit es un conjunto de programas que parchean y troyanizan el sistema operativo. No hay que confundir a estos con los troyanos. Su código que en principio no es dañino por sí solo, usado conjuntamente con un virus, un troyano o spyware resulta muy peligroso, porque no deja huella.

Las posibilidades que aporta un rootkit son infinitas, desde troyanizar el sistema de autentificacion para posibilitar el acceso a un usuario que no este presente en el archivo de contraseñas (invisible desde la vista del propio administrador), parchear un sistema de deteccion de intrusos (IDS), parchear la auditoria para que no se audite las acciones de un determinado usuario, etc.

El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o una memoria USB debido a que un rootkit activo puede ocultar su presencia.

Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.

Para detectar rootkits se utilizan herramientas que detecta: procesos, servicios, archivos, carga de drivers, drivers ocultos, librerías, la creación de procesos, conexiones TCP/IP y entradas en el registro.

Herramientas de desinfección:

GMER:
http://www.gmer.net/index.php

Herramienta RootkitRevealer :
http://technet.microsoft.com/en-us/s.../bb897445.aspx

Sophos Anti-Rootkit:
http://esp.sophos.com/products/free-...i-rootkit.html

Rootkit Hunter:
http://foro.hackhispano.com/download...do=file&id=193

Fuente: http://vtroger.blogspot.com/2008/01/...r-rootkit.html