Trojan.PWS.Papras.4 działa na zasadzie aplikacji o charakterze zdalnego narzędzia administracyjnego (ang. RAT, Remote Administration Tool). Umożliwia to napastnikom dostęp do zainfekowanego komputera bez wiedzy użytkownika. Trojan składa się z kilku elementów. Jednym z nich jest tzw. dropper, który po swoim uruchomieniu rozpakowuje w jednym z plików systemowych kolejny moduł, i w zależności od uprawnień aktualnego użytkownika Windows, modyfikuje odpowiednią gałąź rejestru systemowego, odpowiedzialnego za automatyczne uruchamianie programów. Moduł ten pobiera i wypakowuje główne elementy trojana, a następnie wbudowuje je we wszystkie uruchomione procesy, z wyjątkiem nielicznych procesów o charakterze systemowym. Tym samy stanowi poważne zagrożenie dla wszystkich rodzajów systemu Windows.
Zagrożenie zapewnia funkcjonowanie kilku modułów na zainfekowanym komputerze – jeden z nich jest odpowiedzialny między innymi za uruchomienie serwera VNC, umożliwiającego zdalny dostęp do zarażonej maszyny, inny za pracę serwera Socks Proxy. Kolejny moduł umożliwia wbudowywanie obcych treści w przeglądane przez użytkowników strony. Moduł pomocniczy (tzw. grabber) przeznaczony jest do przekazywania przestępcom danych wpisywanych w formularze internetowe przez użytkownika korzystającego z popularnych przeglądarek (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome). Z kolei moduł Stealer umożliwia przechwytywanie i przekazywanie cyberprzestępcom haseł do różnych popularnych programów, takich jak np. klient pocztowy czy FTP.
Trojan ten stanowi poważne zagrożenie z powodu szeregu funkcji zaprojektowanych w celu kradzieży poufnych informacji. Mogą one być wykorzystywane przez przestępców m.in. w celu uzyskania nieautoryzowanego dostępu do zainfekowanego komputera, w tym do historii wyszukiwania, plików cookies czy do kont ofiary na różnych stronach.
