Ontdekt in augustus 2008.
Aliassen:
Net-Worm.Win32.Koobface.b W32/Koobface.worm
Boface.A
Koobface.A is een internetworm die zich verspreidt via sociale netwerken als MSN en IM. Na opening van het wormbestand installeert het het bestand mstre6.exe in de standaard Windows installatie directorie.
Na infectie toont het eenmalig een Windows-venter met daarin de tekst:
Window title: Error
Window body: Error installing Codec. Please contact support.
Vervolgens zoekt het naar cookies van geinstalleerde IM netwerken, als het die vindt past het de instellingen van het cookie aan waardoor andere gebruikers de worm ook kunnen ontvangen.
Herkenning van besmetting:
a. Bestand tmark2.dat wordt geplaatst in de standaard Windows installatie directorie.
b. De volgende registry sleutel wordt door de worm geschreven:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run\"systray" = "c:\windows\mstre6.exe"
