Руткит может перехватить запрос на вывод списка трудящихся в системе процессов и перед выводом (может употребляться в разных контекстах: Вывод — проводник в составе электрического устройства, предназначенный для электрического соединения с другими устройствами) убрать из него собственный процесс.
Исследователи из компаний Intezer и BlackBerry заметили вредоносную программу, заражающую операционные системы на базе Linux. Она представляет собой руткит, работающий в пространстве пользовательских процессов системы (множество элементов, находящихся в отношениях и связях друг с другом, которое образует определённую целостность, единство) с использованием механизма загрузки всеобщих библиотек LD_PRELOAD. Это позволяет ей подменять системные вызовы и эффективно скрываться от обнаружения. Например, она может перехватить запрос на вывод списка трудящихся в системе процессов и перед выводом убрать из него собственный процесс, или процессы других вредоносных программ (термин, в переводе означающий «предписание», то есть заданную последовательность действий), какие злоумышленники могут загрузить на компьютер с ее помощью. Поскольку программа «присоединяется» к программам пользователя сквозь библиотеку, исследователи назвали ее «симбионтом» — Symbiote.
Symbiote способна скрывать даже свои поступки в сети от анализаторов пакетов. В частности, она скрывает пакеты, отправляемые по заранее заданным адресам, соответствующим адресам нескольких крупных банков Латинской Америки. Это дало исследователям основание предположить, что Symbiote использовалась в штурмах на эти банки. Программа позволяет злоумышленникам получить полный удаленный доступ к системе.
