A Pasobir féreg cserélhető adattároló eszközökön, többek között USB-s pendrive-okon keresztül próbálja megfertőzni a számítógépeket, és azokról jelszavakat gyűjt össze.

A Pasobir féreg mindössze két fájlt hoz létre a kiszemelt számítógépeken. Ezeket rejtett és rendszer attribútumokkal látja el. A féreg a regisztrációs adatbázis módosításával valamint folyamatok leállításával megpróbálja hatástalanítani a víruskereső szoftvereket. Ezt követően rendszeresen figyeli a D meghajtót. Ha ide a felhasználó egy cserélhető adattároló eszközt csatlakoztat, akkor arra azonnal felmásolja a saját fájljait. Arról is gondoskodik, hogy az eszköz újbóli csatlakoztatásakor automatikusan lefussanak a fertőzött állományok.

A Pasobir elsősorban azonnali üzenetküldőkhöz tartozó jelszavakat igyekszik megszerezni. Az összegyűjtött információkat egy előre meghatározott email címre továbbítja vagy feltölti egy weboldalra. Ezt követően különböző fájlokat tölt le az Internetről.

Amikor a Pasobir féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\SVOHOST.exe
%System%\winscok.dll

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“SoundMam” = “%System%\SVOHOST.exe” értéket.

3. Folyamatok leállításával, és a regisztrációs adatbázis módosításával megpróbálja hatástalanítani a víruskereső szoftvereket.

4. Rendszeres időközönként leellenőrzi, hogy a D meghajtón van-e csatlakoztatott hordozható adattároló eszköz. Ha igen, akkor arra felmásolja a saját fájlját sxs.exe néven.

5. Az adattárló eszközön egy autorun.inf nevű állományt is létrehoz, amelynek révén az adattároló csatlakoztatásakor a féreg azonnal elindul.

6. Azonnali üzenetküldőkhöz tartozó felhasználóneveket és jelszavakat gyűjt össze, majd ezeket elküldi egy előre meghatározott email címre, vagy feltölti azokat egy weboldalra.

7. Fájlokat tölt le az Internetről.