Tot nu toe zijn er nog niet veel besmettingen ontdekt van de worm W32/Oror, ook wel bekend als Roron. Ondanks de mogelijke vernietigende werking, wordt de worm als `lastig maar niet erg gevaarlijk' gekwalificeerd. De worm komt via e-mail, irc-kanaal of via KaZaA binnen met verschillende namen, onderwerpregels en namen van bijlagen. Als het virusbestand geactiveerd wordt, verschijnt er een pop-upvenster waarin een boodschap staat over `Winzip Self-Extractor License Confirmation'. Deze mededeling is een afleiding, want intussen installeert de worm enkele bestanden in de Windows-folder, in de Systeemmap, in de map Program Files en de KaZaA-fileharingmap. De naam van die bestanden wisselt, maar ze eindigen altijd op 98.exe, 16.exe of 32.exe. Ook plaatst het zich tussen de `auto-run registry keys', zodat de worm bij het opstarten van de computer in werking treedt. Net als veel wormen zendt ook de Oror-worm zichzelf door naar de adressen die staan in Microsoft Outlook en Outlook Express. Daarnaast gaat de worm op zoek naar andere harde schijven in de computer waartoe het volledige toegang heeft. Het zoekt naar alle mogelijke schijven, van A tot Z.

Wissen

Wie met het virus is geïnfecteerd, loopt het risico alle bestanden te verliezen. Het virus wist de harde schijf op de 9e of 19e dag van maand, als de registry key wordt verwijderd, of als het wormbestand winfile.dll uit de Windows-map wordt verwijderd. Een anti-virusprogramma geeft overigens geen garantie dat een gebruiker niet besmet wordt met het virus. Oror schakelt de meeste bekende anti-virusprogramma's uit door ID-nummer van het programma te verwijderen.