روتکیتها یکی دیگر از گونههای بدافزاری هستند و به شکلی طراحی شدهاند تا عملکرد خود را در سیستم پنهان نگه دارند. بنابراین، در زمانی که مشغول فعالیت مخرب خود هستند، کاربر متوجه اتفاق مشکوکی در سیستم نخواهد شد.
قابلیت دیگر این گونه بدافزاری، در اختیار گذاشتن کنترل از راه دور سیستم به سازندگان بدافزار و مجرمان سایبری است و از آنجایی که روتکیتها توانایی غیرفعال کردن ابزارهای محافظتی سیستم و یا پنهان شدن از آنها را دارند، میتوانند تا مدت طولانی فعال بمانند و خسارات زیادی به بار بیاورند. روتکیتها انواع مختلفی دارند که در اینجا به معرفی یکی از روتکیتهای سفت افزار (firmware) میپردازیم.
بدافزار روتکیتی Lojax، ساخته یکی از گروههای نفوذگر با نام fancy bear یا APT28 است. کار اصلی این بدافزار ایجاد یک درب پشتی و دانلودر (جهت دانلود سایر بدافزارها) با بقای بسیار بالا در سیستم قربانی خواهد بود. این بدافزار از راه نرمافزار ضدسرقت Computrace LoJack، که خود نوعی نرمافزار با عملکرد مشابه روتکیتها است، به سیستم کاربران نفوذ میکند.
Computrace LoJack به این منظور استفاده میشود تا در صورت سرقت و حتی پاکسازی کامل حافظه رایانه، صاحب اصلی قادر به رصد، شناسایی و کنترل سیستم خود باشد. بدافزار Lojax هم با سوءاستفاده از این ابزار و آسیبپذیری ذاتی نسخههای پیشین آن، عاملی بدافزاری را جایگزین عامل اصلی برنامه سالم Computrace LoJack کرده و با توجه به چشم پوشی برنامههای ویروسیاب از این برنامه سالم، Lojax نیز از شناسایی میگریزد.
علائم آلودگی
از آنجایی که کلیه عملیات بدافزار هنگام بوت (Boot) رخ میدهند، در سیستمعامل به جز علائم ثانویه چیزی مشاهده نمیشود. درواقع هنگام بالا آمدن سیستمعامل، بدافزار رد پای خود را میپوشاند.