Win32:BugBear je Internetovým wormem, vytvořeným v programovacím jazyce Microsoft C a zabaleným programem UPX. Worm je dlouhý 50688 slabik a šíří se pomocí elektronické pošty a po sdílených discích lokální sítě. Do systému navíc instaluje trojského koně, který je pak schopen zaznamenávat stisknuté klávesy a odpovídat na povely a příkazy zvenčí. Worm přichází jako náhodně pojmenovaný soubor připojený ke zprávě. Předmět a obsah zprávy mohou být velmi různorodé, dokonce v různých jazycích včetně češtiny! Worm využívá dlouho známé bezpečnostní díry IFrame, která umožňuje automatické spuštění v systémech, které nejsou správným způsobem opraveny pomocí příslušné záplaty firmy Microsoft.

Po spuštění infikovaného souboru se worm nakopíruje do adresáře WINDOWS\SYSTEM pod náhodným čtyřznakovým jménem a také do adresáře Windows STARTUP pod náhodným tříznakovým jménem. Potom se pokouší rozšířit po lokální síti na vzdálené počítače, které mají nastavené sdílené disky. Také otevírá port 36794 a poslouchá, zda nepřicházejí povely zvenčí. Worm pak vypustí trojského koně - program pro zaznamenávání stisknutých kláves. Při šíření po lokální síti může worm způsobit tisk nesmyslných znaků na síťových tiskárnách.

Worm vytváří následující položku v registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\"***" = "****.EXE"

Worm falšuje jméno odesílatele (pole FROM - Od) podobně, jako to dělá virus Win32:Klez-H. Nevybírá však platné jméno cizího člověka, ale vymýšlí si novou adresu kombinováním jména a domény ze dvou různých adres. Je proto takřka nemožné zjistit skutečného odesílatele infikované zprávy, a tak najít infikovaný počítač. Jako svého nosiče použije libovolnou zprávu, kterou na napadeném počítači nalezne. Občas tak může dojít k velice nepříjemnému úniku citlivých dat.

Win32:Opas je druhým virem, který se na přelomu září a října objevil. Jedná se o síťový worm kombinovaný s backdoorem. Je zajímavý tím, že se nešíří elektronickou poštou ale výhradně po lokálních či globálních sítích pomocí služby NETBIOS. Worm je dlouhý přibližně 28 kilobytů. Instaluje sebe sama do adresáře Windows pod jménem scrsvr.exe a do registry přidává následující klíč:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr

Pokud z nějaké IP adresy dostane odpověď, prohledá též obě podsítě sousedící s touto adresou. Pokud má vzdálený počítač povolenou službu "File and Print Sharing" (Sdílení souborů a tiskáren), worm se jej snaží napadnout. Naváže spojení se vzdáleným počítačem a pokud je prostředek chráněn heslem, vyzkouší všechny jednoznakové možnosti hesla. Pokud je úspěšný, pošle na vzdálený počítač sama sebe ve formě EXE souboru a uloží jej pod jménem WINDOWS\scrsvr.exe. Potom si stáhne vzdálený soubor WINDOWS\win.ini, přidá do něj příkaz run a uloží jej zpět. Tak zajistí, že při příštím startu Windows je kopie wormu na vzdáleném počítači spuštěna. Počítače s operačními systémy Windows NT/2000/XP jsou proti tomuto útoku odolné, na rozdíl od počítačů se systémy Windows 9x/Me.

Worm obsahuje i další činnost: zkouší se připojit na webové stránky serveru www.opasoft.com a stáhnout odtud aktualizované verze sebe sama. Tento server je však nyní mimo provoz.

Odstranění tohoto wormu z lokální sítě může být trochu složitější – po jeho odstranění z jednoho počítače se totiž často objeví po lokální síti znovu. Proto je třeba napřed zrušit sdílení disků/adresářů/souborů nebo je ochránit bezpečným heslem a až poté zlikvidovat vlastní worm - smazat infikovaný EXE soubor a odstranit řádek run, který worm přidal do souboru WIN.INI, a také položku z registry.