E’ costituito da almeno tre componenti diversi: due "downloader" e un "mass-mailer" Il file infetto ha una dimensione di 226019 byte.
Viene riconosciuto anche come: Bagle.HX, HEUR/Crypted, I-Worm/Bagle.QI, Trj/Mitglieder.NA, Trojan/Downloader.Bagle.bp, TrojanDownloader.Win32.Bagle.29BF, Trojan-Downloader.Win32.Bagle.bp, W32/Beagle.HW@mm, W32/Mitglied.ACP, Win32.Bagle.IB@mm, Win32.HLLM.Beagle, Win32/Bagle.HX, Win32/Glieder.FA.
Principalmente si propaga tramite le reti peer to peer (p2p) come Emule, Bearshare, ecc.. ma anche via email. Spesso lo si può trovare in archivi contenenti programmi e crack.

Una volta eseguito crea i files hldrrr.exe e mdelk.exe in C:\windows\system32\drivers oltre alla cartella downld. Il trojan agisce mostrando una schermata dove lascia selezionare il file del programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza. Scarica vari files da internet nella cartella downld e li esegue. Essi creeranno la cartella %appdata%\m e dentro di essa il file flec006.exe che scarica altri archivi infetti da internet.Questa cartella e i files scaricati non sono nascosti con tecniche rootkit ma hanno solo l'attributo nascosto (come la cartella downld) Inoltre questo malware, modificando 2 chiavi di registro, disabilita la modalità provvisoria, per cui tentando di accedere a windows in safe mode si ricevera una schermata blu. Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse.
Per sapere se il proprio computer è stato infettato basta verificare se la modalità provvisoria funziona o se l’ antivirus è abilitato, in caso contrario possiamo passare alla disinfestazione. Sfortunatamente questo trojan usa metodi da rootkit per nascondersi quindi non sarà molto semplice eliminarlo dal sistema. Egli infatti blocca tutti i processi relativi ad antivirus ed altri programmi di sicurezza:

* Aavmker4
* ADBLOCK.DLL
* ADFirewall
* Ahnlab task Scheduler
* AlertManger
* AntiVir Service
* AntiyFirewall
* aswUpdSv
* Ati HotKey Poller
* avast! Antivirus
* avast! Mail Scanner
* avast! Web Scanner
* AVEService
* AVExch32Service
* Avg7Alrt
* Avg7Core
* Avg7RsXP
* Avg7UpdSvc
* AVGFwSrv
* AvgFwSvr
* AVIRAMailService
* AVIRAService
* AVUPDService
* AVWUpSrv
* awhost32
* backweb client - 4476822
* BackWeb Client - 7681197
* backweb client-4476822
* Bdfndisf
* BlackICE
* BsFileSpy
* BsFirewall
* BsMailProxy
* ccEvtMgr
* ccPwdSvc
* ccSetMgr
* ccSetMgr.exe
* CONTENT.DLL
* DefWatch
* DNSCACHE.DLL
* drwebnet
* ewido security suite control
* ewido security suite driver
* ewido security suite guard
* firewall
* F-Prot Antivirus Update Monitor
* F-Secure Gatekeeper Handler Starter
* FTPFILT.DLL
* FwcAgent
* Guard NT
* HTMLFILT.DLL
* HTTPFILT.DLL
* IMAPFILT.DLL
* Ip6FwHlp
* KAVMonitorService
* KLBLMain
* KWatchSvc
* MAILFILT.DLL
* McAfee Firewall
* McAfeeFramework
* McShield
* McTaskManager
* mcupdmgr.exe
* Microsoft NetWork FireWall Services
* MonSvcNT
* MpfService
* navapsvc
* Network Associates Log Service
* NNTPFILT.DLL
* NOD32ControlCenter
* NOD32krn
* NOD32Service
* Norman NJeeves
* Norman Type-R
* Norman ZANDA
* Norton AntiVirus Server
* NPDriver
* NPFMntor
* NProtectService
* NVCScheduler
* NWService
* OfcPfwSvc
* Outbreak Manager
* Outpost Firewall
* OutpostFirewall
* PAVAGENTE
* PavAtScheduler
* PAVFIRES
* PAVFNSVR
* PavPrSrv
* PavReport
* Personal Firewall
* POP3FILT.DLL
* PROTECT.DLL
* qhwscsvc
* Quick Heal Online Protection
* RfwService
* SBService
* SECRET.DLL
* SharedAccess
* SharedAccess
* SmcService
* SPBBCSvc
* SpiderNT
* SweepNet
* SWEEPSRV.SYS
* Symantec AntiVirus Client
* Symantec Core LC
* The_Hacker_Antivirus
* V3MonSvc
* Vba32ECM
* Vba32ifs
* Vba32Ldr
* Vba32PP3
* VBCompManService
* VexiraAntivirus
* VisNetic AntiVirus Plug-in
* WinAntivirus
* WinRoute
* wscsvc
* wuauserv
Inoltre blocca tutti i processi attivi con i seguenti nomi:
* AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* a2guard.exe
* aavshield.exe
* AckWin32.exe
* ADVCHK.EXE
* AhnSD.exe
* airdefense.exe
* ALERTSVC.EXE
* ALMon.exe
* ALOGSERV.EXE
* ALsvc.exe
* amon.exe
* Anti-Trojan.exe
* AntiVirScheduler
* AntiVirService
* ANTS.EXE
* APVXDWIN.EXE
* Armor2net.exe
* ashAvast.exe
* ashDisp.exe
* ashEnhcd.exe
* ashMaiSv.exe
* ashPopWz.exe
* ashServ.exe
* ashSimpl.exe
* ashSkPck.exe
* ashWebSv.exe
* aswUpdSv.exe
* ATCON.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* avciman.exe
* Avconsol.exe
* AVENGINE.EXE
* avgamsvr.exe
* avgcc.exe
* AVGCC32.EXE
* AVGCTRL.EXE
* avgemc.exe
* avgfwsrv.exe
* AVGNT.EXE
* avgntmgr
* AVGSERV.EXE
* AVGUARD.EXE
* avgupsvc.exe
* avinitnt.exe
* AvkServ.exe
* AVKService.exe
* AVKWCtl.exe
* AVP32.EXE
* avpcc.exe
* avpm.exe
* AVPUPD.EXE
* AVSCHED32.EXE
* avsynmgr.exe
* AVWUPD32.EXE
* AVWUPSRV.EXE
* AVXMONITOR9X.EXE
* AVXMONITORNT.EXE
* AVXQUAR.EXE
* BackWeb-4476822.exe
* bdmcon.exe
* bdnews.exe
* bdoesrv.exe
* bdss.exe
* bdsubmit.exe
* bdswitch.exe
* blackd.exe
* blackice.exe
* cafix.exe
* ccApp.exe
* ccEvtMgr.exe
* ccProxy.exe
* ccSetMgr.exe
* CFIAUDIT.EXE
* ClamTray.exe
* ClamWin.exe
* Claw95.exe
* Claw95cf.exe
* cleaner.exe
* cleaner3.exe
* CliSvc.exe
* CMGrdian.exe
* DefWatch.exe
* DOORS.EXE
* DrVirus.exe
* drwadins.exe
* drweb32w.exe
* drwebscd.exe
* DRWEBUPW.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ewidoctrl.exe
* EzAntivirusRegistrationCheck.exe
* F-AGNT95.EXE
* FAMEH32.EXE
* FAST.EXE
* FCH32.EXE
* FireSvc.exe
* FireTray.exe
* FIREWALL.EXE
* fpavupdm.exe
* F-PROT95.EXE
* freshclam.exe
* fsav32.exe
* fsavgui.exe
* fsbwsys.exe
* F-Sched.exe
* fsdfwd.exe
* FSGK32.EXE
* fsgk32st.exe
* fsguiexe.exe
* FSM32.EXE
* FSMA32.EXE
* FSMB32.EXE
* fspex.exe
* fssm32.exe
* F-StopW.EXE
* gcasDtServ.exe
* gcasServ.exe
* GIANTAntiSpywareMain.exe
* GIANTAntiSpywareUpdater.exe
* GUARD.EXE
* GUARDGUI.EXE
* GuardNT.exe
* HRegMon.exe
* Hrres.exe
* HSockPE.exe
* HUpdate.EXE
* iamapp.exe
* iamserv.exe
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IFACE.EXE
* INETUPD.EXE
* InocIT.exe
* InoRpc.exe
* InoRT.exe
* InoTask.exe
* InoUpTNG.exe
* IOMON98.EXE
* isafe.exe
* ISATRAY.EXE
* ISRV95.EXE
* ISSVC.exe
* JEDI.EXE
* kavmm.exe
* KAVPF.exe
* KavPFW.exe
* KAVStart.exe
* KAVSvc.exe
* KAVSvcUI.EXE
* KMailMon.EXE
* KPfwSvc.EXE
* KWatch.EXE
* livesrv.exe
* LOCKDOWN2000.EXE
* LogWatNT.exe
* lpfw.exe
* LUALL.EXE
* LUCOMSERVER.EXE
* Luupdate.exe
* MCAGENT.EXE
* mcmnhdlr.exe
* mcregwiz.exe
* Mcshield.exe
* MCUPDATE.EXE
* mcvsshld.exe
* MINILOG.EXE
* MONITOR.EXE
* MonSysNT.exe
* MOOLIVE.EXE
* MpEng.exe
* mpssvc.exe
* MSMPSVC.exe
* myAgtSvc.exe
* myagttry.exe
* navapsvc.exe
* NAVAPW32.EXE
* NavLu32.exe
* NAVW32.EXE
* NDD32.EXE
* NeoWatchLog.exe
* NeoWatchTray.exe
* NISUM.EXE
* NMAIN.EXE
* nod32.exe
* nod32krn.exe
* nod32kui.exe
* NORMIST.EXE
* notstart.exe
* npavtray.exe
* NPFMNTOR.EXE
* npfmsg.exe
* NPROTECT.EXE
* NSCHED32.EXE
* NSMdtr.exe
* NssServ.exe
* NssTray.exe
* ntrtscan.exe
* NTXconfig.exe
* NUPGRADE.EXE
* NVC95.EXE
* Nvcod.exe
* Nvcte.exe
* Nvcut.exe
* NWService.exe
* OfcPfwSvc.exe
* OUTPOST.EXE
* PavFires.exe
* PavFnSvr.exe
* Pavkre.exe
* PavProt.exe
* pavProxy.exe
* pavprsrv.exe
* pavsrv51.exe
* PAVSS.EXE
* pccguide.exe
* PCCIOMON.EXE
* pccntmon.exe
* PCCPFW.exe
* PcCtlCom.exe
* PCTAV.exe
* PERSFW.EXE
* pertsk.exe
* PERVAC.EXE
* PNMSRV.EXE
* POP3TRAP.EXE
* POPROXY.EXE
* prevsrv.exe
* PsImSvc.exe
* QHM32.EXE
* QHONLINE.EXE
* QHONSVC.EXE
* QHPF.EXE
* qhwscsvc.exe
* RavMon.exe
* RavTimer.exe
* Realmon.exe
* REALMON95.EXE
* Rescue.exe
* rfwmain.exe
* Rtvscan.exe
* RTVSCN95.EXE
* RuLaunch.exe
* SAVAdminService.exe
* SAVMain.exe
* savprogress.exe
* SAVScan.exe
* SCAN32.EXE
* ScanningProcess.exe
* sched.exe
* sdhelp.exe
* SERVIC~1.EXE
* SHSTAT.EXE
* SiteCli.exe
* SNDSrvc.exe
* SPBBCSvc.exe
* SPHINX.EXE
* spiderml.exe
* spidernt.exe
* Spiderui.exe
* SpybotSD.exe
* SPYXX.EXE
* SS3EDIT.EXE
* stopsignav.exe
* swAgent.exe
* swdoctor.exe
* SWNETSUP.EXE
* symlcsvc.exe
* SymProxySvc.exe
* SymSPort.exe
* SymWSC.exe
* SYNMGR.EXE
* TAUMON.EXE
* TBMon.exe
* TDS-3.EXE
* TeaTimer.exe
* TFAK.EXE
* THAV.EXE
* THSM.EXE
* Tmas.exe
* tmlisten.exe
* Tmntsrv.exe
* TmPfw.exe
* tmproxy.exe
* TNBUtil.exe
* TRJSCAN.EXE
* Up2Date.exe
* UPDATE.EXE
* UpdaterUI.exe
* upgrepl.exe
* Vba32ECM.exe
* Vba32ifs.exe
* vba32ldr.exe
* Vba32PP3.exe
* VBSNTW.exe
* vcrmon.exe
* vchk.exe
* VetTray.exe
* VirusKeeper.exe
* VPTRAY.EXE
* vrfwsvc.exe
* VRMONNT.EXE
* vrmonsvc.exe
* vrrw32.exe
* VSECOMR.EXE
* Vshwin32.exe
* vsmon.exe
* vsserv.exe
* VsStat.exe
* WATCHDOG.EXE
* WebProxy.exe
* Webscanx.exe
* WEBTRAP.EXE
* WGFE95.EXE
* Winaw32.exe
* winroute.exe
* winss.exe
* winssnotify.exe
* WRADMIN.EXE
* WRCTRL.EXE
* xcommsvr.exe
* zatutor.exe
* ZAUINST.EXE
* zlclient.exe
* zonealarm.exe
Data l’elevata difficoltà ad eliminarlo in manuale, trovate tutti i trojan remover rilasciati dalla ESET (casa produttrice dell’ antivirus NOD32) per tutte le versioni di Bagle nella sezione “Download Guide&Co.”(solo per utenti registrati), categoria “Virus”. Basta disattivare l’ antivirus in esecuzione, scompattare i files ed eseguirli. Dopo aver eseguito la scansione ed eliminato il trojan si consiglia di eseguire un programma di pulizia del registro come “CCleaner” per eliminare le eventuali chiavi superflue.