Oscarbot.IV est un ver qui ouvre plusieurs ports de communication sur les ordinateurs infectés, permettant aux pirates d'accéder à distance au système. Il infiltre également le cheval de Troie Protestor.A sur le système, lequel capture des copies d'écran et dérobe des données de l'utilisateur.
Oscarbot.IV se répand via America On Line Instant Messenger, en envoyant des messages à tous les contacts actifs de l'utilisateur. Lorsqu'il est exécuté, il s'installe sous le nom de "Windows Genuine

Advantage Validation Notification", en se faisant passer pour un service anti-pirate de Microsoft et en s'assurant d'être exécuté à chaque démarrage de l'ordinateur.

Peerbot.B ouvre une porte dérobée pour recevoir des commandes à distance du pirate par IRC. Il peut également subtiliser des informations dans les bases de données MySQL et SQL Server, qu'il envoie ensuite par e-mail. Une fois exécuté, le ver créé plusieurs fichiers dans le système, notamment

Taskdrv.exe, une copie de lui-même, et Libmysql.dll, une bibliothèque appartenant à la base de données MySQL. Peerbot.B se propage en utilisant des logiciels de messagerie et de partage de fichiers. Il créé un grand nombre de fichiers dans le dossier des fichiers partagés des programmes de peer-to-peer, sous des noms laissant entendre qu'il s'agit de versions piratées de logiciels et jeux vidéo très connus.

Netsad.B est un ver qui se diffuse sous la forme d'une pièce jointe, utilisant des messages du type “sharing files is the essence of living” (le partage de fichiers est l'essence de la vie). Il se sert aussi de plusieurs programmes de P2P, parmi lesquels Kazaa ou Emule, en créant des copies de lui-même dans des dossiers partagés afin d'être téléchargé par d'autres utilisateurs. Netsad.B ne peut fonctionner que si l'ordinateur dispose de Microsoft .NET framework 2.0. Lorsqu'il est exécuté, il créé une copie de lui-même, appelée winservices.cab.bak.exe dans le dossier système de Windows.