Worm ini masuk melalui link (pautan) ke sebuah halaman
dengan video yang dikirim ke pengguna dari teman Facebook. Ferguson Rik
dari Trend Micro berkomentar di blog bahwa "tampilan awalnya
menampilkan tampilan yang sangat akrab, yaitu YouTube yang dipalsukan,
lengkap dengan komentar dari beberapa penonton. Setelah pengguna
mengklik tombol Install, pengunjung akan dialihkan ke situs lain untuk
mengunduh file setup.exe yang merupakan varian baru Koobface terdeteksi
sebagai WORM_KOOBFACE.AZ."
Analisis menunjukkan bahwa bukan hanya Facebook, situs-situs jejaring sosial juga telah diserang worm
ini seperti hi5.com, myspace.com, tagged.com, bebo.com, Friendster.com
dan myyearbook.com. Menurut Trend Micro, setelah di-instal, worm
ini akan secara otomatis memasuki situs-situs jejaring sosial seperti
yang telah disebutkan di atas menggunakan data pribadi disimpan dalam cookie
yang tersimpan di komputer pengguna dan mengirim pesan yang berisi
pautan yang sama kepada teman-teman korban. Koobface juga mengirim dan
menerima informasi dari komputer yang terinfeksi, yang memungkinkan cracker untuk mengirimkan perintah pada komputer yang terinfeksi.
Ini bukan pertama kalinya Facebook telah diinfeksi oleh Koobface. Hal yang sama terjadi pada bulan Desember tahun lalu juga.
