In diesem Fall kann er das System lokal angreifen oder Hilfsprogramme zum Hacken der Datenbanken mit den Passwörtern verwenden. Wenn der Übeltäter die entsprechenden Rechte nicht besitzt, kann er, um in das System einzudringen, von der Ferne angreifen oder beispielsweise Sniffer zum Abfangen der Passwörter einsetzen. Ein derartiges Abfangen von Passwörtern ist bei Diensten wie ftp, telnet oder rlogin möglich, da diese die Übergabe der Passwörter im Netz in offener Form abwickeln.
Abhängig von den bereitgestellten Möglichkeiten kann das Rootkit verschiedene Schadprogramme (Trojan-DDoS, Backdoor und sonstige) enthalten, welche auf dem kompromittierten Computer installiert werden und vom Angreifer die Befehle zur Ausführung abwarten. Besonders perfid: Rootkits können sogar Patches enthalten, die Sicherheitslücken im Systemschutz schließen, mit dem Ziel, ein wiederholtes Eindringen seitens eines anderen Angreifers zu vermeiden.
Genauso, wie unter Windows, gibt es in Unix-System-Rootkits im Anwendungs- und im Kernel-Modus.
In der Regel bestehen die Rootkits im Anwendungs-Modus aus Trojaner-Versionen gewöhnlicher Programme, welche die Anwesenheit ihrer Komponenten im System verbergen und aus einer Backdoor, die einen verdeckten Zugang ins System gewährt. Beispiele für Rootkits im Anwendungs-Modus sind lkr, trOn, ark und andere.
Das Rootkit trOn
Um sein Vorhandenseins im System zu verbergen, führt das Rootkit trOn eine Reihe von Aktionen durch. Während der Installation stellt es den syslogd-Deamon ab, anschließend tauscht es folgende System-Utilities gegen seine eigene Trojaner-Versionen aus: du, find, ifconfig, login, ls, netstat, ps, top und sz. Darüber hinaus fügt trOn dem System die Trojaner-Version des sshd-Deamon. Zum Schluss startet es im Hintergrund sniffer, in inetd.conf wird das Wiederanfahren von telnetd, rsh und finger veranlasst. Zum Schluss werden inetd und syslogd erneut gestartet. Normal befindet sich trOn in /usr/src/.puta, ist dank seiner bereits installierten "modifizierten" Komponente ls ist dieses Verzeichnis unsichtbar.
Rootkits im Kernel-Modus
Rootkitss dieses Typs bieten alle Fähigkeiten des voran gegegangenen Typs - jedoch mit stärkerer Wirkung: Rootkits im Anwender-Modus können nur einzelne binäre Dateien modifizieren, im Kernel-Modus genügt es, den Kernel selbst zu verändern, was das Verbergen von Information bedeutend erleichtert.