Утро 29 октября ознаменовалось началом мощной эпидемии почтового червя I-Worm.Bagle.at, которые объёмом генерируемого трафика парализовал многие локальные сети. Вирус применяет стандартные технологии размножения – рассылает письма с исполняемыми вложениями. В качестве адреса отправителя обычно указывается произвольный адрес из числа найденных на зараженном компьютере. Поле "тема" содержит строку "Re:", "Re: Hello", "Re: Hi", "Re: Thank you!" или "Re: Thanks :)", в теле письма содержится строка ":)" или ":))", к письму приложен исполняемый файл, расширение которого может быть произвольным, а имя – "price" или "joke". Спецификации вируса можно найти здесь. Исполняемый файл червя имеет изменяющийся размер между 18 и 22 Кбайтами и упакован утилитой сжатия файлов PeX.Из-за того, что новые модификации не отслеживались антивирусными средствами, началось широкое распространение их по Интернету. По предварительным оценкам, масштабы начальной рассылки составили несколько миллионов адресов, и вирус уже проник во многие компьютеры по всему миру.
Зараженный компьютер по стандартной схеме рассылает копии вирусов другим адресатам и настраивает операционную систему для приема команд от удаленного администратора, а также для работы в качестве узла для рассылки спама.
Производители антивирусных продуктов выпускают обновления, после установки которых антивирусы начинают распознавать и уничтожать новые модификации "червя". Присутствие вируса в ОС можно определить по наличию системного процесса wingo.exe и одноименного файла в системном каталоге, который запускается при старте Windows.
