A Gpcoder.E komoly kellemetlenségeket tud okozni a fertőzött számítógépek tulajdonosainak, ugyanis a PC-ken lévő állományokat tikosítja, és a dekódoláshoz szükséges programot 300 dollárért cserébe teszi elérhetővé.

A Gpcoder.E trójai rengeteg módosítást végez a kiszemelt számítógépeken. Így többek között rootkit technikák révén megpróbálja elrejteni saját magát, és különböző kódok felhasználásával igyekszik megakadályozni az eltávolítását.

A trójainak két fő feladata van. Egyrészt információkat kell gyűjtenie a fertőzött rendszerekről. Ezért beszerzi az operációs rendszer verzióját, és meggyőződik a javítócsomagok jelenlétéről. Ezt követően minden írható meghajtón megkeresi a számára megfelelő fájlokat, és azokat titkosítja. Ezzel ezeket az állományokat használhatatlanná teszi, majd egy szöveges fájl létrehozásával tájékoztatja a felhasználót, hogy 300 dollárért cserébe egy olyan szoftverhez juthat, amelynek segítségével visszaszerezheti a fájljait.

Amikor a Gpcoder.E trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

2. Létrehozza a következő állományt:
System%\\ntos.exe

3. Leellenőrzi, hogy az alábbi két fájl engedélyezett-e a tűzfalakon:
OUTPOST.EXE
CCPROXY.EXE

Amennyiben igen, akkor csak a Windows következő újraindításakor aktivizálódik.

4. Rendszerinformációkat gyűjt össze.

5. Létrehozza a következő könyvtárakat, illetve fájlokat:
%System%\\wsnpoem
%System%\\wsnpoem\\audio.dll (a rendszerinformációkat tartalmazza)
%System%\\wsnpoem\\video.dll (titkosításhoz szükséges állomány)

6. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"Userinit" = "%System%\\userinit.exe, %System%\\ntos.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"userinit" = "%System%\\ntos.exe"
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"userinit" = "%System%\\ntos.exe"

7. Megpróbálja megfertőzni az alábbi két folyamatot:
WINLOGON.EXE
SVCHOST.EXE

8. Igyekszik megakadályozni, hogy a saját fájljait, illetve bejegyzéseit a felhasználó letörölje.

9. Rootkit technikák révén elrejti saját magát.

10. Megpróbálja átvenni az irányítást a hálózati funkciók felett, és ezáltal bizalmas adatokhoz hozzájutni. Képes a hálózati adatforgalom megszakítására, valamint átirányítására

11. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Network\\"UID" = "[COMPUTER NAME]_[UNIQUE ID]"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\"WinCode" = "[ENCRYPTION KEY]"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\"Win32" = "[MAIL FLAG VALUE]"

12. Nyit egy hátsó kaput a 6081-es TCP porton.

13. Július 10. után minden fertőzés alkalmával egy titkosító komponenst futtat le.

14. Minden írható meghajtón megkeresi a számára megfelelő állományokat, amelyeket később titkosít.

15. Létrehoz egy read_me.txt állományt, amelyben tudatja a felhasználóval az állományok visszaszerzéséhez szükséges teendőket.

16. Távoli szerverekhez kapcsolódik.