Первые версии Mebroot появились в декабре 2007 года. Как и другие руткиты, Mebroot применяет ряд методов для того, чтобы избежать обнаружения. Он заражает основную загрузочную запись (MBR) на диске — первое, что запускается на компьютере после BIOS. Если MBR попадает под контроль хакера, за ней последует и вся система со всеми данными. Антивирусные программы способны обнаружить первые версии Mebroot, но теперь его методы маскировки значительно улучшились.

Заражение происходит при посещении взломанного сайта. В браузере открывается невидимый iframe, в котором запускается проверка на наличие уязвимости. Если она найдена, загружается Mebroot, и пользователь ничего не замечает. В системе руткит перехватывает вызовы многих функций ядра, показывая при сканировании незараженную копию MBR. Сетевой трафик тоже скрывается.

Кто и с какой целью написал Mebroot, неизвестно.