Wenn er ausgeführt wird, kopiert sich der Wurm als i11r54n4.exe in den Windows-Systemordner und erstellt die folgenden Dateien im selben Ordner:
go154o.exe - die hauptsächliche DLL-Komponente des Wurms
i1i5n1j4.exe - ein DLL-Plugin zum Laden von ONDE.EXE
i11r54n4.EXEOPEN - eine Kopie des Wurms in kennwortgeschütztem ZIP-Format
W32/Bagle-I fügt den Wert rate.exe = <SYSTEM>\i11r54n4.exe zu folgendem Registrierungsschlüssel hinzu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Dies bedeutet, dass W32/Bagle-I startet, sobald Sie sich an Ihrem Computer anmelden.
Die E-Mails haben folgende Merkmale:
Betreffzeilen:
Hokki =)
Weah, hello!
Weeeeee!
))
Hi!