Win32/Spy.Bebloh ist ein sogenannter "Man-in-the-Browser" (MITB)-Schädling. Das heißt, er kann sich in den Webbrowser einklinken, um Webseitenaufrufe zu überwachen oder die Webseite zu manipulieren. Dadurch ist es möglich, die Login-Daten beim Onlinebanking abzufangen oder ein Opfer zum Beispiel zur Eingabe der eigentlich nicht erforderlichen Persönlichen Identifikationsnummer (PIN) zu bewegen.
Die angehängte Schadsoftware ist durch eine doppelte Dateiendung (beispielsweise ".doc.exe") erkennbar, die allerdings nur wenige Opfer bemerken. Der Trojaner aktiviert sich, sobald die Datei geöffnet wird und verbindet sich mit dem Windows Explorer (explorer.exe). Wenn die Verbindung steht, wird ein Command-and-Control-Server (C&C-Server) kontaktiert, um diesem die erfolgreiche Infizierung des Computers zu melden. Der C&C-Server hat nun eine Verbindung zum befallenen Rechner, wodurch er Daten von ihm empfangen sowie Befehle übermitteln kann. Dabei werden auch einige grundlegende Informationen des Opfers wie IP-Adressen oder Informationen über das Betriebssystem übertragen.
Win32/Spy.Bebloh besitzt zusätzlich noch die Möglichkeit, Dateien aus dem Internet zu laden und diese auszuführen. Weiter kann die Schadsoftware eigenständig Screenshots erstellen und sich selbst aktualisieren. Um einen Neustart des Computers zu überleben, schreibt der Schädling eine Kopie von sich selbst vom Arbeitsspeicher auf die Festplatte und erstellt einen Starteintrag in der Windows Registrierung, sobald das System heruntergefahren wird.