Mebroot – rootkit działający w rejonie MBR używany przez botnety. Jego wykrycie zostało ogłoszone przez firmę F-Secure podczas targów CeBIT 2008. Jest to jeden z pierwszych wirusów, którego głównym zadaniem było uniemożliwienie jego wykrycia. Tworzył on „backdoora” w komputerze ofiary, umożliwiając atakującemu przejęcie nad nim kontroli[1].
Zarażenie Mebrootem rozpoczynało się od uruchomienia konia trojańskiego przez ofiarę. Następnie infekował on sektor startowy dysku twardego komputera, co umożliwiało mu uruchamianie się przed jakimkolwiek innym programem, także antywirusowym, co powodowało, iż stawał się on dla zabezpieczeń systemu niewidoczny. Rootkit ten był wykorzystywany do pobierania i instalacji dodatkowego złośliwego oprogramowania na komputer ofiary bez wiedzy jego użytkownika. Mebroot podpinał się również w trakcie jego działania do innych plików systemowych, co powodowało, iż antywirusy działające w trakcie pracy systemu nie były w stanie go usunąć, jedynym wówczas sposobem na jego usunięcie było użycie antywirusa uruchamianego z płyty bootującej[2].