Der Antivirushersteller Avast hat in einer sechsmonatigen Studie rund 630.000 Rootkit-Infektionen untersucht und dabei festgestellt, dass 74 Prozent aller dabei gefundenen Rootkit-Infektionen auf XP-Rechnern entdeckt worden sind. Davon entfallen wiederum 74 Prozent auf die Rootkit-Familie TDL/TDSS, die auch als Alureon bekannt ist. Da lediglich 49 Prozent der Nutzer von Avast-Software noch unter Windows XP arbeiten, ist dies ein unverhältnismäßig hoher Anteil. Nur 17 Prozent der Rootkit-Infektionen entfallen auf Vista und 12 Prozent auf Windows 7.
TDL-Rootkits nisten sich vorzugsweise im Master Boot Record der Festplatte ein, von wo sie aktiv werden können, noch bevor Windows geladen wird. So können sie das Laden von Treibern und Programmen kontrollieren. Sie können bestimmte Software-Schnittstellen so umbiegen, dass bestimmte Dateien mit Bordmitteln von Windows nicht mehr sichtbar sind. So dienen Rootkits als Tarnkappe für andere Malware, etwa Trojanische Pferde.Das Rootkit-Problem von Windows XP geht laut Avast darauf zurück, dass dem fast zehn Jahre alten XP Schutzmechanismen späterer Windows-Versionen fehlen, die Rootkits das Einnisten erschweren. Dazu zählen die Benutzerkontensteuerung, Patchguard sowie die obligatorische Signierung zu installierender Treiber, die speziell 64-Bit-Ausgaben neuerer Windows-Versionen wie Vista und Windows 7 vor den meisten Rootkits schützt. Unüberwindbar sind jedoch auch diese Hürden nicht.Ein weiteres Problem ist der hohe Anteil an Raubkopien unter den Windows-XP-Installationen, wie Avast meint. Diese Rechner würden auch nicht mit Sicherheits-Updates versorgt, was sie noch anfälliger mache. Avast bietet ein kostenloses Programm (aswMBR.exe) an, das den Startbereich der Festplatte auf verdächtige Spuren untersucht, die auf Rootkits hinweisen.