Les messages, tels que “hey is this your ex ?? Lol” ou “omg you look so cute ”, poussent la cible du message à cliquer sur le lien communiqué et à télécharger le fichier. Ce fichier est un exécutable qui se dissimule derrière une image .jpg !

Concrètement, l’icône du fichier ressemble à un fichier image standard, mais en cliquant dessus, un programme est exécuté. À partir de ce moment, l’infection commence. Tout d’abord, afin de ne pas alerter sa victime, le programme génère une fenêtre stipulant que l’image n’a pas pu être affichée.

Mais en arrière-plan, il télécharge un trojan sur l’ordinateur qui ouvre une connexion avec un canal IRC. Il reçoit par ce biais des URL pour télécharger deux autres fichiers. L’un est appelé GoogleTool.exe (Trojan.Generic.KDV.320671) et le second killproc.exe. Le GoogleTool.exe reçoit lui-même un fichier appelé url.txt qui contient des URL plus récentes menant vers de nouvelles soi-disant "images". Ceci fait, le trojan s’introduit dans le navigateur Internet Explorer pour récupérer la liste d’utilisateurs Facebook de la victime et l’utilise pour propager les faux messages à l’ensemble de ses amis et ainsi de suite. Dans ce cas, les dommages sont limités puisque le code malveillant procède seulement à l’envoi de liens aux amis. Mais les attaquants peuvent échanger le malware téléchargé à tout moment afin de récupérer non pas les identifiants Facebook mais d’autres informations plus personnelles.