Virusbestrijders zijn op twee kwaadaardige programma's gestuit die zowel Windows als de internetverbinding van de gebruiker gijzelen. In het geval van de nieuwste Koobface variant gaat het om de installatie van een nep-virusscanner, die via Google Reader wordt aangeboden. Eenmaal geïnstalleerd steelt de worm aanwezige Facebook cookies en verschijnt er vervolgens een "shutdown venster" met een klok die aftelt.

Gebruikers moeten binnen de gestelde tijd een CAPTCHA oplossen, anders worden ze buiten het systeem gesloten. Met de opgeloste CAPTCHA kunnen de virusschrijvers een nieuwe Facebook account aanmaken. Koobface was in eerste instantie alleen op deze sociale netwerksite actief, maar richt zich inmiddels ook op MySpace en Twitter. Lost de gebruiker de CAPTCHA niet op tijd op, dan blijft de machine vergrendeld totdat hij of zij wel de juiste code invoert. Aangezien het nog wel mogelijk is om Taakbeheer op te roepen, zijn de malware processen uiteindelijk eenvoudig uit te schakelen.

Geen internet
Koobface is geen echte "ransomware", malware die systemen of bestanden voor losgeld gijzelt. In het geval van "RansomSMS.AH" is dit duidelijk wel het geval. Deze malware schakelt de internetverbinding uit, totdat het slachtoffer een code naar een duur SMS-nummer stuurt. Volgens de tekst heeft de gebruiker de rechten van de uFast Download Manager geschonden en moet het exemplaar nu geactiveerd worden. De malware bleek met dit programma gebundeld te zijn, zonder dat de gebruiker hiervan weet, wat ook geldt voor de installatie ervan. Anti-virusbedrijf CA heeft de code gekraakt en een generator online gezet voor het genereren van geldige codes.