该rootkits的主要特征是通过替换主引导记录（MBR）来实现自身隐藏-the first or zero sector of the hard disk- for one of its own which performs its functions

熊猫病毒实验室，熊猫安全的恶意软件分析和检测中心，已经检测到包含rootkits（MBRtool.A、MBRtool.B、MBRtool.C）的木马，它们将替换硬盘主引导区（MBR）1或0扇区记录，这是使用rootkits的一次革命性改变，使得那些恶意代码更难被察觉到。

“这个攻击系统使得那些rootkit和恶意代码一旦被安装到了计算机上就几乎不可能再被检测到。”熊猫技术总监Luis Corrons指出“唯一可行的方法就是在它们进入计算机之前进行防御。预计类似的恶意代码还会出现，使用主动防御技术显得尤为重要，可以在事先没有检测到类似威胁的情况下发现它们的存在。”

网络罪犯使用rootkits的目的是隐藏恶意软件的行为，使得它们难以被侦测到。直到现在，rootkits一直是被安装在系统进程内，但是熊猫病毒实验室检测结果的新迹象表明rootkits已经被安装在部分硬盘上运行，甚至在操作系统还没有启动的时候已经运行了。

当这些rootkits运行的时候，它会复制一个现有的MBR，利用恶意指令修改原来的那个。这就意味着，一旦有核查MBR的情况发生，rootkit会自动重定向到真正的那个，防止用户和应用程序发现蛛丝马迹。

所作的修改意味着当用户启动计算机后，受控的MBR会在操作系统读取前运行。与此同时，rootkit会运行剩余的代码，从而完全隐藏本身和相关的恶意代码。

目前为止，rootkits都是被用来隐藏扩展和进程，但是这些样本可以直接欺骗系统。它所在的位置使得用户不会在系统进程中察觉任何异常，因为内存中读取的rootkit会修改所有的磁盘访问，使得系统中存在的恶意软件不被察觉到。

用户应当采取适当的预防措施预防新的威胁，特别是不要运行任何来源不明的文件。

为了删除恶意代码，受到感染的用户应当从光盘启动自己的计算机来取代读取MBR。然后，不得不使用fixmbr工具等来修复，倘若已经被安装的话。

Corrons补充到：“这些rootkit攻击也可能影响到其他平台，如Linux，因为它们可以在任何操作系统中运行。”