Ce ver recherche des adresses e-mail dans le carnet d'adresses de Windows mais utilise sa propre routine d'envoi.

L'e-mail aura les caractéristiques suivantes :

Objet : aléatoire ou choisi parmi la liste

How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures

Corps du message : Le texte du message est composé aléatoirement par le ver mais le message peut aussi être sans texte.

Pièce jointe : Nommée aléatoirement avec l'extension .PIF, .SCR, .EXE ou .BAT.

L'adresse de l'expéditeur qui apparaît dans le message est choisie à partir d'une liste présente dans le virus.

W32/Klez-G essaie de désactiver plusieurs produits antivirus et de supprimer certains fichiers en relation avec ceux-ci.

Le ver tente d'exploiter une faille MIME présente dans certaines versions de Microsoft Outlook, Microsoft Outlook Express, et Internet Explorer afin de permettre au fichier exécutable de s'exécuter automatiquement sans que l'utilisateur ne double-clique sur la pièce jointe. Microsoft a publié un correctif pour cette faille et peut-être téléchargé à partir de http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
(Ce correctif résout un nombre de failles dans le logiciel de Microsoft, incluant celle exploitée par ce ver.)

W32/Klez-G peut aussi se propager sur des partages distants sur d'autres machines en utilisant des noms de fichier aléatoires.

Il se copie dans le répertoire Système de Windows sous un nom aléatoire. Le ver configurera dans la base de registre la clé

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

pour pointer vers le fichier ver afin qu'il soit exécuté au démarrage de Windows.