Luka w zabezpieczeniach systemów Microsoft Windows, opisana w biuletynie Microsoft MS06-040, umożliwia zdalne przejęcie kontroli nad komputerem ofiary. Haker może instalować programy, zmieniać i usuwać dane, a nawet zakładać nowe konta z uprawnieniami administratorskimi. Technologie TruPrevent firmy Panda Software zablokowały nowego robaka zanim został skatalogowany w bazie sygnatur wirusów.
Oscarbot.KD otwiera na zainfekowanym komputerze port 18067, a następnie łączy się z kilkoma serwerami IRC, umożliwiając hakerowi wydawanie zdalnych poleceń administracyjnych, takich jak pobieranie i uruchamianie różnego rodzaju oprogramowania, atakowanie innych komputerów i inne szkodliwe działania.
Dodatkowo, robak tworzy usługę systemową o nazwie wgareg lub wgavm , która podszywa się pod usługę Genuine Windows, weryfikującej legalność zainstalowanej kopii systemu operacyjnego Microsoft. Fałszywa usługa może nazywać się: "Windows Genuine Advantage Registration Service" lub "Windows Genuine Advantage Validation Monitor" wraz z opisem "Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability" lub "Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability".
Oscarbot.KD zmienia również kilka kluczy Rejestru systemowego Windows w celu wyłączenia zapory Windows, będącej elementem najnowszych systemów operacyjnych z rodziny Windows.
