Escrito en Visual C++, Frethem utiliza su propio mecanismo SMTP para enviar, a las direcciones e-mails encontradas en la libreta de Windows y en la libreta de Outlook Express del sistema atacado, un mensaje con el siguiente formato:

Asunto: Re: Your password!
Texto: ATTENTION!
You can access very important information by
this password
DO NO SAVE password to disk
use your mind
now press cancel
Adjunto: Decrypt-password.exe

Al igual que hiciera Nimda o Klez, entre otros, Frethem explota la vulnerabilidad en Internet Explorer que permite ejecutar archivos adjuntos sin la intervención del usuario, simplemente previsualizando el mensaje infectado que los contiene.

Cuando se ejecuta, el gusano captura del registro del sistema, el nombre de usuario del servidor SMTP y la direcciones de correo en las entradas referidas al gestor de cuentas de Internet (Internet Account Manager), se copia en el archivo SETUP.EXE del sistema con el fin de asegurar su ejecución en cada arranque y abre una ventana en la que muestra un icono de alerta amarillo y un botón "OK".

A continuación captura las direcciones de correo de los archivos .WAB y .DBX que encuentre en el equipo para enviarles el anterior e-mail.

En ocasiones también puede adjuntar el archivo PASSWORD.TXT de unos 30 bytes que porta la supuesta contraseña a la que hace referencia el mensaje y que muestra automáticamente en pantalla: "Your password is W8dqwq918213".

Frethem se ejecuta sólo una vez en memoria siempre y cuando sólo exista una copia del mismo residente. Para controlar que esto sea así, crea el semáforo de exclusión mutua (mutex) "IEXPLORE_MUTEX_AABBCCDDEEFF".

Para finalizar, el autor del gusano ha ocultado dentro del código el siguiente texto irónico: "thanks to antivirus companies for describing the idea! no any destructive actions! dont warry, be happy!"