Um simples google mostrará uma grande variedade de rootkits, no entanto, eu não consideraria nenhum rootkit seguro, a menos que eu tenha revisado todo o código pessoalmente.
Certamente, executá-lo em um ambiente virtualizado, sem conexão com o mundo externo, é a coisa certa a se fazer, de modo que, se ele tiver uma funcionalidade, você não esteja ciente de que o risco é minimizado.
Meu conselho - primeiro leia alguns dos excelentes materiais de análise de rootkit da Symantec, McAfee, Hoglund, Russinovich ou ESET. Eles observam como vários rootkits funcionam e também nomeiam os que podem ser úteis para você.