A Symantec által Mebroot névre keresztelt féreg sajátossága, hogy a számítógép merevlemezének „Master Boot Record” (MBR) részét próbálja meg felülírni, amely bekapcsoláskor az operációs rendszerről kéri az információkat. Ebből következik, hogy a vírus segítségével a támadó a teljes rendszer felett átveheti az ellenőrzést. A gyökérfájlokba beférkőzött vírusprogram ezután főleg adatlopásra alkalmas további rosszindulatú kódokat és kémprogramokat telepít a számítógépre, ráadásul abban az esetben, ha az antivírus szoftver netán eltávolítaná valamelyiket, akkor képes azt újra telepíteni. A féreg speciális rootkit természetéből adódóan a bekapcsolt számítógépről nem távolítható el. A GMER biztonsági cég már kiadott egy olyan speciális alkalmazást, amely felfedezi és el is távolítja a ragaszkodó vírust.

A Symantec közleménye szerint az ilyen jellegű, MBR-t célba vevő rootkit vírusok elég régen, még a Windows elterjedése előtt voltak divatban, azaz a hackerek egy régebbi módszert melegítettek föl a védelem kijátszására. Az utóbbi egy hónapban mintegy 5000 esetben regisztráltak a Mebroot-ra épülő támadásokat csak Európában. A Windows XP, Windows Vista, Windows Server 2003 és Windows 2000 rendszerű számítógépek egyaránt sebezhetőek vele szemben, amennyiben nincsenek telepítve rájuk a legújabb javítófoltok.