A Koobface.D féreg elsősorban közösségépítő weboldalakon keresztül próbál terjedni, és bizalmas adatokat igyekszik összegyűjteni a terjesztői számára.

A Koobface féreg D betűjelű variánsa a működési elvét tekintve igazán sok mindenben nem tér el az elődeitől. Ez a féreg is igyekszik mind tovább rejtve maradni a számítógépeken, és bizalmas adatokat összegyűjteni azokról. A kártékony program ehhez feltérképezi az Internet Explorer által létrehozott cookie-kat, és azokat feltölti egy előre meghatározott távoli szerverre. Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Koobface.D elsősorban azon cookie-k iránt "érdeklődik", amelyek közösségépítő és egyéb népszerű weboldalakhoz tartoznak. Így elsősorban a következő domainekhez kötődő, bizalmas információkat tartalmazó állományok, illetve adatok után kutakodik:
bebo.com
facebook.com
hi5.com
myspace.com
netlog.com
tagged.com
twitter.com

A Koobface.D a regisztrációs adatbázisban is tesz néhány módosítást, hiszen abban bejegyzéseket hoz létre, illetve töröl.

Amikor a Koobface.D féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza az alábbi fájlokat:
%Windir%\ld12.exe
%Windir%\prxid93ps.dat

2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sysldtra
y" = "%Windir%\ld12.exe"

3. A regisztrációs adatbázisból kitörli az alábbi értékeket:
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\"(Default)" = ""
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current\"(Default)" = "%SystemRoot%\media\Windows XP Start.wav"
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Default\"(Default)" = "%SystemRoot%\media\Windows XP Start.wav"

4. Leellenőrzi, hogy van-e elő internet kapcsolat.

5. Csatlakozik előre meghatározott távoli szerverekhez.

6. Feltérképezi az Internet Explorer által elmentett cookie-kat, és ezek közül továbbítja egy távoli szerverre azokat, amelyek a következő weboldalak valamelyikéhez tartoznak:
bebo.com
facebook.com
hi5.com
myspace.com
netlog.com
tagged.com
twitter.com

7. Interneten keresztül frissíti saját magát, és további kártékony állományokat tölt le.

A hír megjelenését a biztonságportál támogatta.