Een nieuwe Windows-worm verspreidt zich via Yahoo! Messenger en doet zich voor als een Microsoft tool om de geldigheid van de geinstalleerde Office-versie te controleren. De Coidung-worm bevindt zich in het bestand "office_genuine.exe", wat de Office Genuine Advantage (OGA) checker zou zijn. Microsoft besloot het OGA-programma echter eind 2010 uit te faseren. "De naam van een bestand die met een legitieme tool is geassocieerd is genoeg om gebruikers de worm op hun computer te laten downloaden en installeren", zegt BitDefender analist Doina Cosovan.

Naast de worm wordt ook een "file-infector" genaamd Virtob geïnstalleerd. Opmerkelijk genoeg is het onduidelijk of de worm Virtob bewust installeert, of dat het systeem van de auteur ook besmet is geraakt. Eenmaal actief schakelt Coidung de Windows Firewall uit en opent een backdoor waarmee de aanvaller volledige controle tot het systeem krijgt.

Virtob infecteert allerlei bestanden, waaronder ASP, HTM en PHP scripts en wacht ook op aanvullende opdrachten van de aanvaller.