Lo stivale Allure è stato identificato per la prima volta intorno al 2007. I personal computer sono solitamente infettati quando gli utenti scaricano e installano manualmente il software Trojan. Alureon è noto per essere stato fornito in bundle con il software di sicurezza rogue, Security Essentials 2010. Quando il contagocce viene eseguito, prima dirotta il servizio spooler di stampa (spoolsv.exe) per aggiornare il record di avvio principale ed eseguire una routine di bootstrap modificata. Quindi infetta i driver di sistema di basso livello come quelli responsabili delle operazioni PATA (atapi.sys) per implementare il suo rootkit.
Una volta installato, Alureon manipola il Registro di Windows per bloccare l’accesso a Task Manager di Windows, Windows Update e desktop. Si tenta anche di disattivare il software anti-virus. Alureon è stato anche conosciuto per reindirizzare i motori di ricerca per commettere click fraud. Google ha adottato misure per mitigare questo per i propri utenti mediante la scansione per attività dannose e gli utenti di avviso in caso di un rilevamento positivo.
Il malware ha attirato una notevole attenzione pubblica quando un bug del software nel suo codice ha causato alcuni sistemi Windows a 32 bit per crash al momento dell’installazione di aggiornamento di sicurezza MS10-015. Il malware stava usando un indirizzo di memoria hard-coded nel kernel che è cambiato dopo l’installazione dell’hotfix. Microsoft ha successivamente modificato l’hotfix per impedire l’installazione se è presente un’infezione Alureon, gli autori del malware hanno anche corretto il bug nel codice.
Nel novembre 2010, la stampa ha riferito che il rootkit si era evoluto al punto in cui era in grado di bypassare il requisito obbligatorio di firma del driver in modalità kernel delle edizioni a 64 bit di Windows 7. Lo ha fatto sovvertendo il master boot record, che lo ha reso particolarmente resistente su tutti i sistemi di rilevamento e rimozione da software anti-virus.