По словам исследователей Якуба Бречки (Jakub Beka) и Давида Матушека (David Matoušek) из команды веб-ресурса Matousek.com, им удалось сформировать схема обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, в прошлом чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна проистечь жестко в необходимый момент, но на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда единственный поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут практически каждый Windows-антивирус.
Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, штурмовая вылазка работает на 100%, причем более того в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.
Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, потому он не применим, когда требуется сберечь прыть и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.
Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а следом хакер волен и совсем истребить все защитные барьеры, на сто процентов удалив из системы мешающий антивирус.