Руткит может перехватить запрос на вывод списка работающих в системе процессов и перед выводом убрать из него собственный процесс.
Исследователи из компаний Intezer и BlackBerry обнаружили вредоносную программу, заражающую операционные системы на базе Linux. Она представляет собой руткит, работающий в пространстве пользовательских процессов системы с использованием механизма загрузки общих библиотек LD_PRELOAD. Это позволяет ей подменять системные вызовы и эффективно скрываться от обнаружения. Например, она может перехватить запрос на вывод списка работающих в системе процессов и перед выводом убрать из него собственный процесс, или процессы других вредоносных программ, которые злоумышленники могут загрузить на компьютер с ее помощью. Поскольку программа «присоединяется» к программам пользователя через библиотеку, исследователи назвали ее «симбионтом» — Symbiote.
Symbiote способна скрывать даже свои действия в сети от анализаторов пакетов. В частности, она скрывает пакеты, отправляемые по заранее заданным адресам, соответствующим адресам нескольких крупных банков Латинской Америки. Это дало исследователям основание предположить, что Symbiote использовалась в атаках на эти банки. Программа позволяет злоумышленникам получить полный удаленный доступ к системе.