Die beiden neuen Bagle-Varianten gehören von der Grundfunktion und Arbeitsweise zwar zur klassischen Bagle-Familie, sind jedoch in einem entscheidenden Punkt gefährlicher geworden: Sie verwenden Rootkit-Technologie, um ihre Aktivitäten und ihre Anwesenheit zu verbergen.
Der Rootkit-Treiber versteckt mehrere Dateien, Windows Registry Einträge oder Prozesse. Bagle.IB deaktiviert 495 verschiedene Sicherheitsprozesse, die HZ Variante schafft es sogar, 525 Prozesse abzuschalten. Verantwortlich für die vermeintliche Unsichtbarkeit ist die Rootkit-Komponente M_HOOK.SYS, die den Wurm auch vor einigen Sicherheitsprogrammen erfolgreich verbirgt.