Einige Sicherheitsexperten haben eine neue Art von Rootkits entdeckt, die nur sehr schwer aufzuspüren und zu entfernen sind. Das erste Exemplar, welches von Symantec als Backdoor.Rustock.A und von F-Secure als Mailbot.AZ bezeichnet wird, kombiniert alte und neue Techniken.

"Es ist das Erstgeborene eine neuen Generation von Rootkits", sagte Elia Florio von Symantec. Es ist "absolut unsichtbar", sobald es auf einem Computer installiert ist. Es wird davon ausgegangen, dass es aus Russland stammt und in Zukunft aktualisiert wird, da man einen entsprechenden String im Quellcode gefunden hat.

Das Rootkit versteckt sich im sog. Alternate Data Stream (ADS) des Dateisystems NTFS, wodurch es unsichtbar ist. Zusätzlich werden bekannte Rootkit-Techniken genutzt, um diesen Stream zu verstecken. Es nutzt keinen eigenen Prozess sondern verschanzt sich in Treibern und im Kernel.

F-Secure hat ein Update für den BlackLight Rootkit-Scanner veröffentlicht, welches das Aufspüren von "Rustock" ermöglicht. Das Unternehmen geht davon aus, dass die Sicherheitsexperten bei einer neuen Version des Rootkits sehr viel Zeit brauchen werden, um es aufzuspüren.