Alureon
Allure-støvlen blev først identificeret omkring 2007. Personlige computere inficeres normalt, når brugerne manuelt downloader og installerer trojansk software. Alureon er kendt for at være blevet pakket sammen med den falske sikkerhedssoftware, Security Essentials 2010. Når dropperen udføres, kaprer den først print spooler-tjenesten (spoolsv.exe) for at opdatere master boot record og udføre en modificeret bootstrap-rutine. Derefter inficerer den systemdrivere på lavt niveau, f.eks. dem, der er ansvarlige for PATA-operationer (atapi.sys), for at implementere sit rootkit.
Når Alureon er installeret, manipulerer den Windows-registreringsdatabasen for at blokere adgangen til Windows Task Manager, Windows Update og skrivebordet. Den forsøger også at deaktivere anti-virus-software. Alureon har også været kendt for at omdirigere søgemaskiner for at begå klik-svindel. Google har taget skridt til at afhjælpe dette for deres brugere ved at scanne for skadelig aktivitet og advare brugerne i tilfælde af positiv registrering.
Malwaren tiltrak sig stor offentlig opmærksomhed, da en softwarefejl i koden fik nogle 32-bit Windows-systemer til at gå ned ved installation af sikkerhedsopdatering MS10-015. Malwaren brugte en hard-codet hukommelsesadresse i kernen, som blev ændret efter installationen af hotfixet. Microsoft ændrede efterfølgende hotfixet for at forhindre installation, hvis der er tale om en Alureon-infektion. Forfatterne af malware har også rettet fejlen i koden.
I november 2010 rapporterede pressen, at rootkittet havde udviklet sig så meget, at det var i stand til at omgå det obligatoriske krav om signering af drivere i kernel-mode i 64-bit udgaver af Windows 7. Det gjorde dette ved at undergrave master boot record, hvilket gjorde det særligt modstandsdygtigt på alle systemer over for detektion og fjernelse af antivirusprogrammer.