La evolución de los rootkits ya ha llegado, se trata de un tipo de rootkit que utiliza un tipo de malware algo diferente, especial.
Lo que hace "el bicho" es quitar la protección contra la inclusión de drivers no firmados en modo kernel, e infecta el sector de arranque para así en el siguiente reinicio del equipo arrancar con un programa que parchee el kernel antes de arrancarlo, y ya poder meter cualquier driver en modo kernel.
Con esto se atacan también los sistemas protegidos con TrueCrypt o
BitLocker, detectando si el disco está cifrado en arranque, e infectando el proceso de solicitud de contraseña, para robarla de manera definitiva, y que solo podría ser protegido en aquellos equipos en los que el disco cifrado tuviera protegidas las claves por el
chip TPM [Trusted Platform Module].