A Cosmu.A kártékony kód két trójait hív segítségül annak érdekében, hogy a terjesztői számára minél több bizalmas információt tudjon kiszivárogtatni a fertőzött számítógépekről.

A Cosmu.A tulajdonképpen egy JavaScript alapú kód, amely első ránézésre nem jelent túlságosan nagy kockázatot a számítógépekre. Azonban a valóságban igencsak kellemetlen meglepetéseket tud okozni, ugyanis képes arra, hogy egy kártékony trójai programot juttasson fel, és telepítsen a kiszemelt rendszerekre. A Cosmu.A eközben az Internet Explorer egyik sérülékenységét is megpróbálja kihasználni annak érdekében, hogy a lehető legcsekélyebb felhasználói közreműködéssel tudja feltelepíteni a másik rosszindulatú programot.

Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Cosmu.A egy Droppr.FNZ trójai segítségével fertőz, amely egy Gamethi.FNZ nevű trójait tölt le a már amúgy is duplán fertőzött PC-kre. A végső és egyben legkockázatosabb műveleteket a Gamethi.FNZ hajtja végre. A károkozó célja, hogy a "World of Warcraft"-hoz minél több bizalmas adatot gyűjtsön össze, és szolgáltasson ki a vírusterjesztők számára.

Amikor a Cosmu.A vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Letölt egy kártékony fájlt egy előre meghatározott weboldalról.

2. Egy kártékony program számítógépre való feljuttatása érdekében megpróbálja kihasználni az Internet Explorer egyik sebezhetőségét.

3. Amennyiben sikerül letöltenie a számára kijelölt állományt, akkor azt a következők szerint menti el:
%User Profile%\Application Data\b.exe

4. A letöltött állományt elindítja, aminek következtében egy Droppr.FNZ trójai települ fel a számítógépre.

5. A trójai letölt egy Gamethi.FNZ nevű trójait, majd feltelepíti azt.

6. A Droppr.FNZ trójai eltávolítja a saját állományait a számítógépről.

7. A Gamethi.FNZ leállítja a wow.exe folyamatot (amennyiben az létezik).

8. Megpróbál "World of Warcraft"-hoz tartozó jelszavakat összegyűjteni, és kiszivárogtatni.

A hír megjelenését a biztonságportál támogatta.