Alureon
Der Allure-Boot wurde erstmals 2007 entdeckt. Personalcomputer werden in der Regel infiziert, wenn Benutzer Trojaner-Software manuell herunterladen und installieren. Es ist bekannt, dass Alureon mit der gefälschten Sicherheitssoftware Security Essentials 2010 gebündelt wurde. Wenn der Dropper ausgeführt wird, entführt er zunächst den Druckspooler-Dienst (spoolsv.exe), um den Master Boot Record zu aktualisieren und eine modifizierte Bootstrap-Routine auszuführen. Dann infiziert er Low-Level-Systemtreiber wie die für PATA-Vorgänge zuständigen (atapi.sys), um sein Rootkit zu implementieren.
Nach der Installation manipuliert Alureon die Windows-Registrierung, um den Zugriff auf den Windows Task Manager, Windows Update und den Desktop zu blockieren. Außerdem versucht es, Antiviren-Software zu deaktivieren. Alureon ist auch dafür bekannt, Suchmaschinen umzuleiten, um Klickbetrug zu begehen. Google hat Maßnahmen ergriffen, um dieses Problem für seine Nutzer zu entschärfen, indem es nach bösartigen Aktivitäten sucht und die Nutzer im Falle einer positiven Erkennung warnt.
Die Malware erregte große öffentliche Aufmerksamkeit, als ein Softwarefehler in ihrem Code einige 32-Bit-Windows-Systeme nach der Installation des Sicherheitsupdates MS10-015 zum Absturz brachte. Die Malware nutzte eine fest kodierte Speicheradresse im Kernel, die sich nach der Installation des Hotfixes änderte. Microsoft änderte daraufhin das Hotfix, um die Installation zu verhindern, wenn eine Alureon-Infektion vorliegt. Der/die Malware-Autor(en) behoben auch den Fehler im Code.
Im November 2010 wurde in der Presse berichtet, dass das Rootkit so weit entwickelt war, dass es die obligatorische Signierung von Treibern im Kernel-Modus der 64-Bit-Editionen von Windows 7 umgehen konnte. Dies geschah durch Umgehung des Master-Boot-Records, wodurch es auf allen Systemen besonders resistent gegen die Erkennung und Entfernung durch Antiviren-Software war.