Besonders trickreich: Diese so genannten Hooks sind nicht die ganze Zeit aktiv, sondern werden nur bei Bedarf installiert. Die Malware lässt sich fast nicht mehr aufspüren, da es für Sicherheitsprogramme aussieht, als sei der Bootsektor in Ordnung. Mit eigenen Überwachungsprozessen kontrolliert das Rootkit, ob es entdeckt und entfernt wurde und infiziert den Rechner gegebenenfalls erneut.

McAfee zufolge gibt es keinerlei Dateien oder Registry-Einträge, die auf ein derart installiertes Rootkit hinweisen. Am ehesten sei es daher vor der Installation zu entdecken, da dafür eine Datei auf dem Rechner platziert werden muss. Die McAfee-Virenscanner sollen diese Dropper bereits erkennen. Zudem hat man auch Mechanismen entwickelt, um das installierte Rootkit aufzuspüren und zu entfernen, diese durchlaufen derzeit aber noch interne Tests bei den Sicherheitsspezialisten.