A vírus névváltozatai: W32.Frethem.J@mm, W32/Frethem.gen@MM, WORM_FRETHEM.J.

Ez a féreg vírus az Internet segítségével terjed fertőzött email üzenetek mellékleteként. A féreg tulajdonképpen egy 35 Kb nagyságú PE EXE fájl, melyet Visual C++-ben írtak. Programkódja ténylegesen 32 Kb hosszúságú, amely PE-Pack és UPX program segítségével lett összetömörítve.

A fertőzött üzenet az alábbiak szerint néz ki:
Tárgy: (Subject)
Re: Your password!

Levélszöveg: (Body)
ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Csatolt állomány: (Attachment)
decrypt-password.exe, password.txt

A féreg a lefuttatásához egy biztonsági rést használ ki (IFRAME, hasonló ahhoz, amit a Nimda féreg is használt). Így a féreg már akkor aktíválódni tud, ha csak olvassuk vagy a preview ablakban megjelenítjük a fertőzött üzenetet (ehhez hasonló volt a KAK.worm, ahol szintén a fertőzött melléklet megnyitása nélkül tudott aktiválódni a féreg). Ekkor telepíti magát a rendszerre, lefuttatja a terjedéséhez szükséges rutinját és a büntető rutint. A féreg telepíti magát a WINDOWS Startup könyvtárába "setup.exe" néven: \Start Menu\Programs\Startup\setup.exe

Terjedés:
A terjedési részében a féreg összegyűjti az összes levelezési címet az Outlook könyvtárakból és a Windows címjegyzékből (Windows Address Book) és elküldi magát minden egyes címre az alapértelmezett SMTP szerver segítségével.

Büntető rutin:
A féreg parancsokat küldözget különböző HTTP oldalakra. Az oldalak címeit a féreg a belsejében tárolt listából veszi.

Az F-Secure, a Kaspersky Anti-Virus programok a 2002. július 15-i délutáni
adatállományokkal már képesek detektálni.