Con esta característica, los creadores de antivirus se encuentran con la inmensa dificultad de detectar un código que es difícil conocer. No hay propagación, por lo que no pueden obtenerse muestras del mismo, y su análisis se vuelve prácticamente imposible, puesto que además en el propio sistema afectado no se puede conseguir información sobre el rootkit, ya que él mismo se oculta.
En diversos medios han aparecido informaciones alertando sobre la gran peligrosidad de estos programas, y no les falta razón. El riesgo es muy elevado, y las consecuencias que generan pueden ser muy graves. Sin embargo, debedesmitificarse la imposibilidad de detección de estos programas.
En primer lugar, para que un rootkit infecte un sistema, debe primero instalarse. Y mientras no se demuestre lo contrario, en lo ordenadores actuales para instalar un programa (sea un rootkit o un lector de correo electrónico) debe copiarse una serie de ficheros a un dispositivo de almacenamiento. Es decir, hay que utilizar el disco duro del sistema para introducir los ficheros del rootkit.
Desde hace muchos años, los antivirus vigilan la actividad del disco duro como principal mecanismo de defensa contra códigos maliciosos. Cara fichero que se guarda en el disco es analizado por el antivirus, y si se detecta una amenaza es eliminada. Así, si el rootkit es conocido, un antivirus sin grandes alardes técnicos puede al menos detectarlo, y en muchas ocasiones, además eliminarlo.
Pero tal y como comentábamos más arriba, los rootkits pueden ser ejemplares únicos, desarrollados en exclusiva para una máquina en particular. Esto impide claramente que los antivirus puedan tener un conocimiento previo del programa y listarlo entre las firmas de identificación de código malicioso.
E incluso podríamos llegar a pensar en un rootkit que no hiciera uso del disco duro, tal y como pasaba con el gusano SQLSlammer. En ese caso fracasarían estrepitosamente las soluciones de protección clásicas, como de hecho sucedió con el mencionado gusano. Por tanto, es necesario un sistema que vigile no se limite a vigilar la actividad de los ficheros en el disco, sino que vaya más allá. En lugar de analizar los ficheros byte a byte, debe vigilarse lo que hacen al ejecutarse.