De beveiligingsspecialisten van de internetbeveiliger constateerden dat het aantal Koobface-detecties binnen achtenveertig uur het aantal comand- and controlservers, waarvandaan besmette computers hun opdrachten krijgen, heeft verdubbeld. Het malwareprogramma valt speciaal sociale netwerksites als Twitter en Facebook aan en gebruikt gecompromitteerde legale websites als proxies voor zijn command- en constrolserver. Hoewel het aantal besmette Koobface-virusservers de laatste tijd afnam, werd er in achtenveertig uur een verdubbeling van 71 naar 142 servers geconstateerd.

Werkwijze cybercriminelen
Volgens de specialisten geeft deze plotselinge groei in het aantal besmette servers precies de huidige werkwijze van cybercriminelen weer. Volgens Kaspersky Lab houden cybercriminelen permanent hun gebruikte malware-infrastructuur in de gaten. Ze willen niet dat het aantal servers erg afneemt, omdat zij daardoor de controle over hun botnet kunnen verliezen. Wanneer het aantal operationele besmette servers tot een bepaald niveau daalt, dan kunnen zij binnen enkele weken het aantal besmette servers weer op peil brengen door nieuwe bij te schakelen. Verder constateerden de onderzoekers hoe het aantal servers rond de honderd bleef schommelen, soms werd het aantal verminderd, waarna er weer voldoende werden bijgeschakeld om het niveau te kunnen blijven vasthouden. De onderzoekers van Kaspersky valt verder op dat de cybercriminelen de met Koobface besmette servers over de hele wereld distribueren, maar een voorkeur te lijken hebben voor de Verenigde Staten. Ook verspreiden zij het liefst de besmette servers over meerdere ISP's om zo het neerhalen van de servers te bemoeilijken.