Тело червя находится в файле mszsrn32.dll, который располагается в системой директории. Червь пытается сделать инъекцию собственного кода в winlogon.exe и если это удается, то он запускается сразу после показа логотипа Windows при загрузке операционной системы. Зарегистрировано три версии червя. По мнению исследователей F-Secure червь можно отнести к семейству Sober.

Троянская программа BeastPWS также пытается сделать инъекцию своего кода, но уже в процесс iexplore.exe. Распространяется он как сообщение об исправлении утилиты Winlogon и после установки на компьютер в директории Windows называется winlogon_patchv1.dll, однако занимается он перехватом нажатий клавиш и отсылкой собранный таким образом информации по электронной почте своим владельцам.

Червь Tilebot-FA устанавливает на компьютер жертвы FTP-сервер, прокси-сервер, открывает диски для доступа извне и управляется по HTTP. Проникает на машину с помощью трех известных ошибок WKS (MS03-049), PNP (MS05-039) и ASN.1 (MS04-007), которые исправлены достаточно давно. После установки может воровать информацию из буфера обмена, изменяет стартовую страницу Internet Explorer, сканирует порты, перехватывает сетевые пакеты, а также может участвовать в распределенных DoS-атаках.