Gaggle se propaga enviándose a todas las entradas de la libreta de direcciones del cliente de correo Outlook. Además, hace uso de la "ingeniería social", ya que el mensaje de correo electrónico en que el código malicioso llega incluido intenta hacer creer que su contenido no es un virus, sino algo útil para el usuario, como puede ser un formulario de suscripción a una revista electrónica, un artículo o una página de descarga de software. Pese a que tanto el asunto como el cuerpo del mensaje son variables, un ejemplo del e-mail sería el siguiente:

Asunto: "Revista virtual"

Cuerpo del mensaje: "Hola te envio el prospecto de subscripción de una buena revista virtual, la revista llega a tu mail y se puede leer como página web. La página de subscripcion es interactiva, mirala a ver que te parece.

Por el contrario, el nombre del archivo adjunto al mensaje de correo electrónico (que en realidad contiene a Gaggle) es siempre el mismo: AngelDelMar.HTML, por lo cual, es más fácil identificar que el mensaje en cuestión no es legal, si no el modo de transporte de un nuevo código malicioso.

Si el archivo que contiene el código malicioso es ejecutado, Gaggle crea dos ficheros en el directorio de Windows con los nombres Gaghiel.html y AngelDeMar.HTML. Además, borra los siguientes ficheros del directorio de sistema de Windows: Regedit.exe, Msconfig.exe y Systemsfc.exe, así como algunos archivos con extensiones .hlp, .chm y .cnt de la carpeta "Help" del directorio de Windows.

Por otra parte, Gaggle busca todos los archivos que se encuentren en el equipo con extensión .HTM, añadiendo su código a cada uno de ellos.

Finalmente, el virus genera nuevas entradas en el registro de Windows, de tal manera que si el día de la fecha es superior a 25, cambia la página de inicio del navegador Microsoft Internet Explorer. A su vez, si la suma del día y el mes es igual a 30, muestra una pantalla con un texto sarcástico.