A Mubla.B féreg elsősorban az MSN Messenger alkalmazáson keresztül terjed, és egy hátsó
kaput nyit a támadók számára.

A Mubla.B féreg néhány fájl létrehozása, és a regisztrációs adatbázis módosítása után IRC-n
keresztül nyit egy hátsó kaput. A támadók ezen keresztül fájlokat tölthetnek le, illetve telepíthetnek.
Továbbá különböző bizalmas adatokhoz férhetnek hozzá, és jelszavakat szerezhetnek meg.

A Mubla.B féreg az MSN Messenger alkalmazáson keresztül különböző megtévesztő üzeneteket
küldözget. Ezek révén arra próbálja rávenni a felhasználókat, hogy FTP-n keresztül töltsenek le
egy photosalbum-2007-5-26.scr nevű fájlt, amely természetesen a féreghez tartozik.

Amikor a Mubla.B féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\\notiffy.dll
%System%\\printers.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\\Software\\Microsoft\\[RANDOM LETTERS]\\
"[véletlenszerű karakterek]" = "[BINARY DATA]"
HKEY_CLASSES_ROOT\\CLSID\\{E828ED51-9231-4C10-AF80-C86611F551F4}\\InProcServer32\\
"(Default Value)" = "notiffy.dll"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
ShellServiceObjectDelayLoad\\"printers" = "{E828ED51-9231-4C10-AF80-C86611F551F4}"

3. IRC-n keresztül nyit egy hátsó kaput, majd várakozik a támadók parancsaira.

4. Megpróbál MSN Messengeren keresztül terjedni. Ehhez megtévesztő üzeneteket küldözget, és egy fertőzött állomány - FTP segítségével - történő letöltésére próbálja rávenni a felhasználókat.