Netsky.C si diffonde attraverso la posta elettronica in un messaggio scritto in inglese e con caratteristiche variabili - e mediante i programmi condivisi di file P2P. Questo codice maligno cancella le entrate appartenenti a diversi worm, tra i quali Mydoom.A e Mimail.T.
Bizer.A, si diffonde attraverso il programma di Instant Message ICQ. Per scaricare ed eseguire una copia di sé nel computer colpito, sfrutta due vulnerabilità recentemente scoperte in Internet Explorer.
Bizer.A cerca di rubare le informazioni che l'utente inserisce in siti web legati a determinate entità finanziarie così come quella inviata via HTTPS (HTTP over Secure Socket Layer) relativa ai domini login.yahoo.com e .passport. I dati che ottiene li invia al server FTP.
Il terzo worm è Nachi.D che ha come bersaglio pc con sistemi operativi Windows 2003, XP, 2000 o NT. Con l'obiettivo di propagarsi al maggior numero possibile di computer sfrutta tre vulnerabilità - Buffer Overrun nell'interfaccia RPC, WebDAV e Buffer Overrun nel Service Workstation ? per scaricare una copia di sé. Questa azione provoca un aumento del traffico di rete per le porte TCP 80, 135 e 445.
Nachi.D è capace di disinstallare le varianti A e B di Mydoom e di Doomjuice, terminando i suoi processi e eliminando i file associati. Quando arriva la data 1 di giugno 2004 il worm si cancella da solo.
Analogamente a Netsky.C, Mydoom.F si diffonde per posta elettronica con un messaggio in inglese con caratteristiche variabili. Si tratta di un codice maligno distruttivo, dato che elimina tutti i file che hanno uno delle seguenti estensioni: AVI, BMP, DOC, JPG, MDB, SAV e XLS.
Mydoom.F installa una DDL che contiene una backdoor e permette di finalizzare processi corrispondenti a programmi antivirus, lasciando così il pc vulnerabile agli attacchi di altri malware. Inoltre, quando la data del sistema si trova tra il 17 e il 22 di qualsiasi mese dell'anno, questo worm realizza attacchi di Distributed Denial of Service (DDoS) contro le pagine www.microsoft.it e www.ria.com. Due volte su tre l'attacco è rivolto al sito di Microsoft. Sette volte su dieci la presenza di Mydoom.F si riscontra nella comparsa di un messaggio di errore.
