Der Wurm ist eine in Windows ausführbare Datei mit einem Volumen von ca. 15 kb als Dateianlage mit einer fingierten Adresse des Absenders. In der Betreffzeile steht "Hi", im Briefkorpus "Test =)" und als Unterschrift "Test, yep". Der Name der Dateianlage ändert sich dagegen.

Wird die Datei geöffnet, kopiert sich der Wurm in das Windows-System und unternimmt ein Starten des "Trojaner"-Proxy Servers "Mitglieder". Dieser Proxy-Server erlaubt es dem Wurmschreiber den infizierten Computer für ein weiteres Versenden des schädlichen Codes zu verwenden. Zur Zeit sind alle Links auf Netzquellen von "Mitglieder" gelöscht und 'I-Worm.Bagle' kann diese Technologie für ein noch schnellere Verbreiten nicht benutzen.

So benutzt 'I-Worm.Bagle' eine Standard-Prozedur für diese Art von Malware. Er scannt das Dateiensystem des infizierten Computers auf der Suche nach Dateien mit den Erweiterungen wab, txt, htm, html und r1 und schickt sich an alle in der eMail Box gespeicherten Adressen. Zur Versendung der Nachrichten benutzt der Wurm einen eigenen SMTP Server.