StealthMBRはWebブラウザのセキュリティ・ホールを悪用し，攻撃用サイトを閲覧した被害者のパソコンに感染する。感染過程で自分自身を「%temp%」にコピーし，サービスとして活動を始める。このサービスは自分自身のコードでMBRの内容を上書きし，元々のMBRコードを62番セクターにバックアップとして保存しておく。さらに，60番および61番セクターにルートキットのロード用コード，アクティブ・パーティションの最終セクターにルートキット本体を上書きした上で，システムを再起動する。

ルートキットは「\\driver\Disk」内のI/O要求パケット（IRP）テーブルにある「IRP_MJ_READ」と「IRP_MJ_WRITE」にフックを設け，自分自身が書き換えられることを防ぐ。こうしておくと，感染済みMBRの内容が読まれた際に，62番セクターにバックアップした本物のMBRコードを返せる。その結果，多くのセキュリティ・ツールがマルウエアの検出/除去に失敗する。