Rootkity to paskudna sprawa

Spora liczba antywirusów ma problem z rootkitami, które zainstalowały się w momencie, gdy rezydentny monitor antywirusowy był wyłączony. Rootkit w ACPI.sys ładowany jest przy starcie systemu, co sprawia że złośliwy kod ma szeroką kontrolę nad systemem, począwszy od modyfikacji procesu uzyskiwania adresów DNS, a skończywszy na ukrywaniu faktycznej zawartości pliku z rootkitem (swoją drogą CreateRemoteThread mógł wymyśleć tylko idiota i tylko z Microsoftu, słowem kluczem jest kompatybilność wsteczna). Żeby wykryć takiego rootkita trzeba skanować węzły systemu plików na poziomie uchwytu do dysku.

Antywirus też jest rootkitem, a przechwycenie poszczególnych funkcji systemu operacyjnego ma na celu analizę behawioralną działających w systemie procesów. Rootkity w środowisku Win32 mają łatwo, w 64-bitowych Windows trochę gorzej - każdy sterownik musi być podpisany zaufanym certyfikatem.

Darmowe narzędzia do wykrywania i eliminacji to Kaspersky TDSSKiller, F-Secure Blacklight i Gmer.

Malware dla Windows ciekawie analizuje się pod Linuksem w Wine.