Mebroot це зловмисне програмне забезпечення, яке належить до родини руткітів, а саме до її підмножини - буткітів. Використовується деякими ботнетами, включно із Torpig.
Троянський вірус заражає MBR, щоб дозволити собі запуститися ще до запуску операційної системи. Це дозволяє йому обійти деякі засоби захисту та глибоко вбудуватися в операційну систему. Відомо, що троянець може перехоплювати операції читання/запису, вбудовуватися глибоко в мережеві драйвери. Це дає йому можливість обходити деякі брандмауери та безпечно зв'язуватися, використовуючи спеціальний зашифрований тунель, з командно-контрольним сервером. Це дозволяє зловмиснику встановлювати інші шкідливі програми, віруси або інші додатки. Троян найчастіше краде інформацію з комп'ютера жертви, намагаючись отримати невелику фінансову вигоду.
Mebroot пов'язаний з Anserin - ще одним трояном, який реєструє натискання клавіш та викрадає банківську інформацію. Це є ще одним доказом того, що за Mebroot, швидше за все, стоїть фінансовий мотив.
Троян намагається уникнути виявлення, вбудовуючись у файл atapi.sys. Він також вбудовується у файл Ntoskrnl.exe. Mebroot не має виконуваних файлів, ключів реєстру та модулів драйверів, що ускладнює його виявлення без антивірусного програмного забезпечення. Окрім запуску антивірусного програмного забезпечення, можна також видалити троянця, стерши або відновивши головний завантажувальний запис, жорсткий диск та операційну систему.
Руткіт здатен перехоплювати драйвери мережі з метою обходу мережевого екрану.