Mnoha obětem se vir dostal do počítače přes pasti v internetových stránkách, které zneužívají slabých míst internetového prohlížeče od Microsoftu. Přes tyto slabiny se pak do počítače instaluje kód útočného programu. Virus je podle expertů nebezpečný proto, že se skryje takzvaně v hloubi Windows, aby se nedal odhalit.
Zákeřný program je typem viru, kterému se říká rootkit. Jde o sadu programů a technologií, které maskují zákeřný software v počítači, aby se běžně dostupnými systémovými prostředky nedal odhalit. Vir se snaží přepsat tu část pevného disku (Master Boot Record, MBR), kam se počítač obrací pro informace o operačním systému, který v něm běží.
"Pokud ovládáte MBR, máte pod kontrolou operační systém a pak i počítač, v němž je nainstalován," napsal Elia Florio na internetovém deníku společnosti Symantec, která se zajištěním počítačů proti zákeřnému softwaru zabývá. V Symanteku označují nový vir jako Mebroot.
Poté, co se vir nainstaluje, stáhne do počítače další zákeřné programy. Takzvané keyloggers například snímají stisky jednotlivých kláves, a získávají tak důvěrné informace včetně přístupových hesel. Většina z těchto přidružených programů skrytě v počítači číhá na to, až se jeho majitel přihlásí do internetového bankovního systému některé ze stovek finančních institucí.
Experti se domnívají, že Mebroot vytvořila ruská skupina lidí, kteří viry programují. Odhaduje se, že se její "produkty" natáhly do 200.000 systémů. Tato skupina se právě specializuje na krádeže přístupních bankovních hesel.
Podle firmy iDefense, která se na zabezpečení počítačů specializuje, se podařilo identifikovat nový vir v říjnu. Mebroot ale začal útočit až počátkem prosince. iDefence zaznamenala, že mezi 10. prosincem a 7. lednem bylo virem infikováno přes 5000 strojů. Z analýz vyplynulo, že se Mebroot usadí na skrytém místě MBR, odkud může znovu instalovat přidružené programy, které mezitím smazal antivirový software napadeného počítače.
Některý bezpečnostní software umí přítomnost Mebrootu identifikovat. Vir se ale nedá odstranit za chodu počítače. Odstranit ho údajně dokáže nástroj nezávislé firmy GMER. Vir napadá počítače s operačními systémy Windows XP, Windows Vista, Windows Server 2003 a Windows 2000, které nemají na slabinách instalované takzvané záplaty, píše BBC.