Обнаруженный ими троянец Mebroot устанавливается на первый сектор жесткого диска - в главную загрузочную запись, которая считывается при запуске компьютера, после чего вирус вносит изменения в ядро Windows таким образом, чтобы затруднить свое обнаружение антивирусным ПО.

По данным iDefense, примерно с середины декабря злоумышленникам удалось заразить с помощью Trojan.Mebroot около 5 тыс. компьютеров путем заманивания пользователей на вредоносные сайты, которые различными способами пытаются внедрить загрузочный rootkit на ПК.

Загрузочные вирусы были широко распространены в эру MS-DOS, однако для последних лет подобные атаки были относительной редкостью. В 2005 году, однако, специалисты eEye Digital Security в ходе доклада на конференции Black Hat показали возможность сокрытия rootkit при помощи записи в MBR. По сведениям iDefense, Trojan.Mebroot создан с использованием кода, продемонстрированного тогда исследователями.