Najnowsza wersja Ronvixa jest trudniejsza do wykrycia niż dotychczas. –
Implementacja prywatnego stosu opiera się na open-source’owym projekcie TCP/IP i można uzyskać do niego dostęp zarówno z trybu użytkownika, jak i jądra — czytamy na oficjalnym blogu Microsoftu. Schemat owego prywatnego stosu to obrazek ilustrujący tego newsa. Bootkit omija zaporę ogniową, zezwalając na pobranie dodatkowego złośliwego oprogramowania na zainfekowany komputer lub do sieci, w której się znajduje.
Jak twierdzi Microsoft, oprogramowanie do monitorowania ruchu sieciowego może nie wykryć pakietów, które są wysyłane z tego prywatnego stosu TCP/IP. Zainfekowane komputery będą jednak podłączone do domeny youtubeflashserver.com, więc jeżeli zostanie wykryty ruch tam prowadzący, komputer najprawdopodobniej jest już zainfekowany.