http://slashdot.jp/security/09/01/06/100203.shtml
実体験のスレッドがとても楽しいことになっています．わざとやってるのかな…．だとしたらかなりのやり手だな．ああ，いろいろと言及したいところですが，時間がないので書けません．
私は rootkit なるものを知りませんが，一言するなれば，

ワームがユーザに見せるサーバの挙動を完全にシミュレートできると仮定すると，ワームはユーザを騙したままサーバに居座ることができます．ユーザには健全にしか見えないから．

もっとも，「恒久的にすべてのユーザからサーバの挙動が健全に見える」ならば，ワームに感染していないサーバと見なして良いと思います．健全なサーバと識別不可能だから．