Un rootkit è una raccolta di tool che un intruso installa sulla macchina vittima dopo essersi guadagnato un accesso non autorizzato alla stessa.
Lo scopo principale di un rootkit è identico a quello di un trojan, cioè quello di permettere all’intruso (o agli intrusi) di poter ritornare al sistema compromesso senza essere scoperti.
In genere, un rootkit è composto da tre elementi:
– Le versioni trojan delle utility di monitoraggio del sistema;
– Un network sniffer;
– Alcuni script di “pulizia” dei file di log del sistema;
Così come per i trojan, un rootkit riesce a raggiungere il suo scopo in modo molto semplice, cioè installando un demone di accesso remoto (come una versione modificata di telnetd o sshd) munito di backdoor. Tali demoni modificati, spesso si mettono “in ascolto” su porte diverse da quelle utilizzate dai demoni originali, pronti a soddisfare le richieste di connessione da parte degli attaccanti.
