После выпуска эксплойта антивирусные компании зафиксировали появление червя CME-482, а через некоторое время CME-762, которые использовали эту уязвимость для проникновения в систему. Оба червя также распространяются с помощью AIM и общие папки. После проникновения в систему черви выдают себя за приложение Windows Genuine Advantage: CME-482 изображает WGAREG.EXE (Genuine Advantage Registration Service), а CME-762 - WGAVM.EXE (Genuine Advantage Validation Monitor). На самом же деле они делают компьютер участником зомби-сети, который получает команды через протокол IRC с китайских серверов. Все производители антивирусных продуктов выпустили сигнатуры для данных червей и рекомендуют обновить базы данных, хотя поставили низкий уровень опасности для них.