Une fois entré dans votre système, Cuebot-K commence par désactiver pare-feu et antivirus, télécharge du code malveillant depuis deux sites Web, scanne vos fichiers locaux et lance une invite de commande MS-DOS. Il se propage via AIM, la messagerie instantanée d'AOL, et se présente comme un exécutable baptisé « wgavn.exe ». Installé, il apparait dans le gestionnaire des taches de Windows comme le processus « Windows Genuine Advantage Validation Notification », indique Sophos, après avoir créé une entrée dans la base de registre dotée du chemin suivant : HKLM\SYSTEM\CurrentControlSet\Services\wgavn\.
Le comique de la situation réside dans le fait que certains assimilent le programme WGA à un spyware, dans la mesure où il se connecte à un serveur distant sans le consentement explicite de l'utilisateur. L'idée de victimes pestant contre Microsoft et son relativement inoffensif WGA doit beaucoup amuser le créateur de Cuebot-K. Pour éviter qu'il ne rie à vos dépens, rappelez vous d'être particulièrement méfiants lorsqu'un contact vous envoie un exécutable !