A Pgpcoder trójai különbözõ kiterjesztésû fájlokat titkosít, majd egy olyan dekódoló program megvásárlását ajánlja fel, amellyel a titkosított állományok visszafejthetõk.

A Pgpcoder a fertõzés után azonnal megkeresi a számára ideális kiterjesztésû állományokat. Ezeket a trójai letitkosítja, majd az eredeti fájlokat letörli. Így tulajdonképpen állományokat tesz használhatatlanná. A Pgpcoder a számítógépen több szöveges fájlt is létrehoz, amelyben egy dekódoló program megvásárlására hívja fel a figyelmet.

A Pgpcoder további ismert nevei: Virus.Win32.Gpcode.b [Kaspersky Lab], PGPcoder [McAfee], TROJ_PGPCODER.A [Trend Micro].

Amikor a Pgpcoder elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehoz egy "encoder_v1.0" nevû mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run
kulcsához hozzáadja a
"services" = "[a trójai elérési útvonala]" értéket.

3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Sysinf
kulcsához hozzáadja a
"cur_not_done" = "[hexadecimális érték]" értéket.

4. Megkeresi a számítógépeken az alábbi kiterjesztésû fájlokat:
.asc
.db
.db1
.db2
.dbf
.doc
.htm
.html
.jpg
.pgp
.rar
.rtf
.txt
.xls
.zip


5. A fenti kiterjesztésû állományokat letitkosítja.

6. Létrehoz egy szöveges fájlt minden olyan könyvtárba, ahol titkosított fájlokat. Ez az állomány a következõ szöveget tartalmazza:
Some files are coded.
To buy decoder mail: [user]@yahoo.com
with subject: PGPcoder 000000000032

7. Amikor minden lehetséges állományt tikosított, akkor létrehoz egy "tmp.bat" nevû fájlt a C meghajtó gyökér könyvtárába. Ennek segítségével eltávolítja magát a rendszerbõl.