Detectado originalmente em Dezembro de 2007, o Mebroot infectou os computadores através do Master Boot Record (MBR, ou mais popularmente, o setor de boot do HD), permitindo que um hacker tivesse o controle da máquina infectada a partir do momento em que era inicializada. As empresas de segurança implementaram proteções contra o Mebroot e a detecção era feita vendo se o MBR estava comprometido.

A nova variante consegue burlar estas proteções. Assim, se uma máquina infectada com a nova variante tiver o MBR verificado, o Mebroot detecta a verificação e se oculta fazendo com que os softwares de segurança pensem que a máquina não está comprometida.