Alureon
Boot Allure został po raz pierwszy zidentyfikowany około 2007 roku. Komputery osobiste są zazwyczaj infekowane, gdy użytkownicy ręcznie pobierają i instalują oprogramowanie trojańskie. Alureon jest znany z tego, że został dołączony do nieuczciwego oprogramowania zabezpieczającego Security Essentials 2010. Po uruchomieniu droppera, najpierw porywa on usługę print spooler (spoolsv.exe) w celu aktualizacji głównego rekordu startowego i wykonania zmodyfikowanej procedury bootstrap. Następnie infekuje niskopoziomowe sterowniki systemowe, takie jak te odpowiedzialne za operacje PATA (atapi.sys), aby zaimplementować swój rootkit.
Po zainstalowaniu Alureon manipuluje Rejestrem Windows, aby zablokować dostęp do Menedżera zadań Windows, Windows Update i pulpitu. Próbuje również wyłączyć oprogramowanie antywirusowe. Alureon był również znany z przekierowywania wyszukiwarek w celu popełnienia oszustwa związanego z kliknięciami. Google podjęło kroki w celu złagodzenia tego problemu dla swoich użytkowników poprzez skanowanie w poszukiwaniu złośliwej aktywności i ostrzeganie użytkowników w przypadku pozytywnego wykrycia.
Złośliwe oprogramowanie przyciągnęło znaczną uwagę opinii publicznej, gdy błąd w jego kodzie spowodował awarię niektórych 32-bitowych systemów Windows po zainstalowaniu aktualizacji bezpieczeństwa MS10-015. Złośliwe oprogramowanie wykorzystywało adres pamięci zakodowany w jądrze, który uległ zmianie po zainstalowaniu poprawki. Microsoft następnie zmodyfikował poprawkę, aby zapobiec instalacji, jeśli infekcja Alureon jest obecna. Autorzy złośliwego oprogramowania naprawili również błąd w kodzie.
W listopadzie 2010 r. prasa doniosła, że rootkit rozwinął się do punktu, w którym był w stanie obejść wymóg obowiązkowego podpisywania sterowników w trybie jądra w 64-bitowych edycjach systemu Windows 7. Udało mu się to dzięki podważeniu głównego rekordu rozruchowego, co sprawiło, że na wszystkich systemach był szczególnie odporny na wykrycie i usunięcie przez oprogramowanie antywirusowe.
.