Craig Schmugar, ricercatore McAfee, ha spiegato che Koobface colpisce soltanto siti web di social network inviando messaggi ai vari utenti e invitandoli a guardare un determinato video, giudicato divertente o interessante, tramite un link.
Gli utenti, quindi, incuriositi cliccano sul link. A questo punto si apre una pagina che informa la necessità di un aggiornamento di Flash affinchè il video possa essere visualizzato e, quindi, all’utente viene chiesto di aprire un file chiamato flash_player.exe.
Se l’utente decide di effettuare l’aggiornamento richiesto Koobface scaricherà un programma chiamato tinyproxy.exe che, a sua volta, al prossimo avvio del Pc, caricherà un proxy server chiamato Security Accounts Manager (SamSs).
Koobface, a questo punto, sarà in grado di monitorare tutti i movimenti sulla porta TCP 9090 e tutte le informzaioni HTTP in uscita, dirottando su siti poco affidabili ricerche effettuata, ad esempio, su Google, Yahoo, MSN, ecc.
Schmugar, inoltre, ha aggiunto che questa versione di Koobface include anche un ulteriore componente che potrebbe installare, in un secondo momento, altre applicazioni dannose.
Schnitt ha affermato che solo una piccola percentuale degli utenti sono stati colpiti dal virus e che Facebook sta lavorando per aggiornare rapidamente i suoi sistemi di sicurezza al fine di ridurre al minimo ogni ulteriore impatto.
Nel frattempo sul sito sono state inserite delle istruzioni per rimuovere il virus, qualora siete stati tra le sue vittime. Ovviamente la raccomandazione è quella di non aprire qualsiasi e-mail sospetta, anche se proviene da un utente conosciuto.