Op de Facebook-pagina wordt gevraagd Flash up te graden, maar in werkelijkheid installeert de gebruiker besmette software.

Koobface dook voor het eerst op in juli 2008. In oktober 2008 bleek de worm juist Google Reader en Picasa Web te gebruiken om gebruikers door te sturen naar een nagemaakte Facebook-pagina.