Gli esperti generalmente concordano sul fatto che è difficile indovinare quanti computer sono compromessi da rootkit dannosi, ma i numeri sembrano essere in aumento se l’elenco crescente di rootkit noti è indicativo. Si ritiene che le infezioni siano le più alte negli Stati Uniti, con almeno un computer su quattro infetto, secondo almeno una stima. Sfortunatamente, non è facile rilevare un rootkit poiché una delle sue funzioni principali è quella di rimanere nascosto. Sono disponibili pacchetti software chiamati “anti-rootkit” per la ricerca di rootkit, ma è fortemente raccomandata la prevenzione.
In alcuni casi possono esserci segni rivelatori della presenza di un rootkit su un sistema. Ad esempio, un utente potrebbe eseguire l’elaborazione di testi o semplicemente navigare in Internet quando nota che il computer elabora i dati in modo estremamente lento. Dopo aver controllato il sistema, potrebbe essere chiaro che l’unità di elaborazione del computer (CPU) ha poche risorse. Ciò potrebbe essere dovuto al fatto che la CPU sta eseguendo un lavoro in background per un rootkit. Un rootkit scritto male potrebbe anche causare ripetuti arresti anomali del computer, sebbene questi problemi possano essere attribuibili anche ad altre cause.
Per essere sicuri, è meglio controllare settimanalmente la presenza di rootkit sul computer, quindi eseguire il backup del sistema pulito per proteggersi da problemi futuri. Alcuni pacchetti anti-rootkit offrono la possibilità di rimuovere alcuni tipi di rootkit, ma in genere si consiglia di riformattare il disco rigido e ricostruire il sistema se viene trovato un rootkit. È molto difficile essere sicuri che un rootkit venga completamente rimosso e in alcuni casi la rimozione di un rootkit può lasciare “buchi” nel sistema, rendendolo instabile.
Esistono diversi tipi di rootkit e non tutti i programmi di scansione cercano tutti i tipi di rootkit. Gli anti-rootkit “basati su firme” cercano rootkit noti, il che può essere utile se il sistema è stato infettato da un kit noto, ma ogni giorno vengono rilasciati nuovi rootkit. Altri programmi anti-rootkit cercano i rootkit nei file, ma non nel registro.
Il software anti-rootkit proveniente da una fonte non attendibile potrebbe effettivamente essere progettato per installare un rootkit anziché cercarne uno, il che rende saggio attenersi ai programmi rilasciati da rinomate società di software specializzate in software di sicurezza. Alcuni popolari programmi anti-rootkit che rientrano in questa categoria includono AVG Anti-Rootkit, BlackLight di F-Secure, Sophos Anti-Rootkit e Anti-Rootkit di Panda.
Nell’aprile 2007 PC Magazine™ ha testato e recensito diversi programmi anti-rootkit per verificarne l’efficacia. La scelta dell’editore è andata a Panda’s Anti-Rootkit, segnalato come un sistema più approfondito rispetto agli altri rootkit finder recensiti all’epoca. Panda Anti-Rootkit ha trovato anche tutti i rootkit piantati nel test e, come molti altri anti-rootkit, è gratuito. Anche l’utilizzo di più di un programma anti-rootkit potrebbe essere prudente.
Un protocollo sensato da seguire è quello di cercare i rootkit settimanalmente, quindi clonare il disco rigido o eseguire il backup del sistema su un’immagine situata su un’unità secondaria. Utilizzando questa strategia, se viene trovato un rootkit non è necessario fare affidamento sulla rimozione. Un’immagine disco recente consente di riformattare l’unità infetta e quindi ripristinare l’immagine per garantire un sistema pulito e stabile con tempi di inattività ridotti.
Per impedire il download di rootkit, evitare di aprire e-mail provenienti da fonti sconosciute, mantenere il sistema operativo aggiornato con gli ultimi hotfix ed eseguire programmi antivirus e antispyware con gli aggiornamenti correnti. Per ridurre ulteriormente i rischi, utilizzare un firewall e non consentire ai siti Web di installare software a meno che non si sia sicuri che il sito possa essere considerato attendibile.