Alureon
De Allure-laars werd voor het eerst geïdentificeerd rond 2007. Computers worden meestal besmet wanneer gebruikers handmatig Trojaanse software downloaden en installeren. Het is bekend dat Alureon is gebundeld met de malafide beveiligingssoftware Security Essentials 2010. Wanneer de dropper wordt uitgevoerd, kaapt hij eerst de print spooler service (spoolsv.exe) om de master boot record bij te werken en een gewijzigde bootstrap routine uit te voeren. Vervolgens infecteert het low-level systeem drivers zoals die verantwoordelijk zijn voor PATA operaties (atapi.sys) om zijn rootkit te implementeren.
Eenmaal geïnstalleerd, manipuleert Alureon het Windows Register om de toegang tot Windows Taakbeheer, Windows Update, en het bureaublad te blokkeren. Het probeert ook anti-virus software uit te schakelen. Alureon staat er ook om bekend dat het zoekmachines omleidt om klikfraude te plegen. Google heeft stappen ondernomen om dit voor hun gebruikers te beperken door te scannen op schadelijke activiteiten en gebruikers te waarschuwen in het geval van een positieve detectie.
De malware trok aanzienlijke publieke aandacht toen een softwarebug in zijn code sommige 32-bit Windows-systemen deed crashen na installatie van beveiligingsupdate MS10-015. De malware maakte gebruik van een hard-gecodeerd geheugenadres in de kernel dat veranderde na de installatie van de hotfix. Microsoft wijzigde vervolgens de hotfix om installatie te voorkomen als er een Alureon-infectie aanwezig is. De auteur(s) van de malware repareerde(n) ook de bug in de code.
In november 2010 berichtte de pers dat de rootkit zover was geëvolueerd dat hij in staat was om de verplichte ondertekening van stuurprogramma’s in de kernelmodus van 64-bits edities van Windows 7 te omzeilen. Hij deed dit door de master boot record te ondermijnen, waardoor hij op alle systemen bijzonder resistent werd tegen detectie en verwijdering door antivirussoftware.