De igual forma que las versiones anteriores de BAGLE, este gusano residente en memoria, se propaga por correo electrónico utilizando su propio motor de envío SMTP.

Recopila direcciones de correo desde ciertos tipos de archivo existentes en la máquina infectada y trata de evitar replicarse sobre direcciones que contengan determinadas cadenas de texto que el autor ha considerado no convenientes.

Usando técnicas de ingeniería social, este gusano envía un correo electrónico con el nombre de un remitente falsificado. El mensaje enviado tendrá contenidos variables en los campos Asunto, Cuerpo del Mensaje y Nombre del fichero Adjunto.

Además de propagarse por correo, también posee capacidades para configurar una puerta trasera (Backdoor) de acceso a la máquina infectada. Para evitar ser detectado, será capaz de finalizar ciertos tipos de procesos relacionados con programas de seguridad como Firewall y Antivirus.

Notifica al autor cada nueva infección enviando la información recopilada en cada máquina a ciertas direcciones web.

Además, intenta suprimir ciertas entradas de registro relacionadas con variantes NETSKY y crear procesos (mutex) que impidan que algunas variantes de su competidor, el gusano NETSKY, puedan ejecutarse.