Und wieder treibt eine neue Bagle-Version das Unwesen im Internet. W32/Bagle.z@MM heisst die neue Variante, die von McAfee mit einem mittleren Risiko eingestuft wird. Der Mail-Wurm besitzt eine eigene SMTP-Engine, um sich selbst zu verbreiten. Die Absenderadresse wird wie üblich gespooft, das Attachment kann sogar ein durch Passwort geschütztes Zip-File sein, wobei das Passwort im Text mitgeschickt wird. Der Virus kopiert sich als "drvsys.exe" in das Windows Systemverzeichnis und legt über einen Registry-Key einen Autostartup fest : CurrentVersionRun "drvsys.exe" = C:WINNTSYSTEM32drvsys.exe
Anschließend sucht der Virus nach Antiviren-Programmen und versucht die Prozesse zu deaktivieren. Port 2535 wird anschließend geöffnet.