Microsoft haalde laatst het nieuws met de onthulling van een "onvindbare rootkit". De proof-of-concept rootkit die de onderzoekers ontwikkelde, genaamd SubVirt, maakt misbruik van bekende security lekken om een VMM (virtual machine monitor) onder een Windows of Linux installatie te plaatsen. Is het systeem eenmaal geinfecteerd door de rootkit, dan kan die niet meer gedetecteerd worden, omdat de security software op het geinfecteerde systeem de virtual machine rootkit niet kan scannen.

Het Finse F-Secure vraagt zich af waarom Microsoft een rootkit aan het ontwikkelen is. Volgens de virusbestrijder lijkt dit veel op de wetenschappers die kernfusie ontwikkelden, zonder na te denken over de bom waar aan men meewerkte. Mogelijk dat de softwaregigant wil weten hoe aanvallers te werk gaan. Het idee van SubVirt is niet nieuw, aangezien er al in 1993 al een soortgelijke rootkit was. PMBS was een "stealth virus" dat zich via geinfecteerde floppy disks verspreidde. Op een geinfecteerde machine kopieerde het zichzelf naar het externe geheugen, en draaide het een virtual V86 machine. DOS en andere applicaties werden dan vanuit die virtuele PC gedraaid.

Rootkit expert Greg Hoglund is niet onder de indruk van SubVirt, omdat de rootkit wel gedetecteerd kan worden en erg moeilijk te programmeren is. Daarnaast vertoont een VM rootkit vreemd gedrag en heeft het invloed op de performance van de machine. Elke machine heeft namelijk zijn eigen handtekening, waaronder virtual machines, aldus Hoglund. Hij verwacht dan ook niet dat VM rootkits binnenkort zullen verschijnen.