Dem Sicherheitsanbieter zufolge können die beiden Wurmvariationen "Networm.Win32.Koobface.a" und "Networm.Win32.Koobface.b" via Internet weitere Schadcode-Module mit anderen Funktionen auf das infizierte System nachladen. Auf diese Weise sollen sich die für das Botnet rekrutierten Zombie-PCs zu verschiedenen Zwecken missbrauchen lassen - etwa dem Versenden von Malware, Spam- und Phishing-Mails oder für DDOS-Attacken (Distributed Denial of Service).
Während sich Net-Worm.Win32.Koobface.a verbreitet, wenn Nutzer ihr MySpace-Profil aufrufen, und dann Kommentare in den Profilen von "Freunden” erstellt, erzeugt sein auf Facebook-User spezialisierter Kollege Net-Worm.Win32.Koobface.b Spam-Nachrichten und schickt diese via Facebook an Freunde des kontaminierten Nutzers. Die Nachrichten und Kommentare bei MySpace und Facebook enthalten einen Link zu Youtube, wo sich angeblich ein Videoclip befindet. Wer diesen ansehen will, wird aufgefordert, die dazu erforderliche aktuelle Version des Flash Player herunterzuladen. Statt des vermeintlichen Flash Player wird damit aber ein weiterer Netzwurm, die Schaddatei "codesetup.exe", auf den infizierten PC geschleust. Laut Kaspersky fangen sich Anwender, die über Facebook auf die Website gelangt sind, auf diese Weise den MySpace-Wurm ein - und umgekehrt.
