Het W32.Swen-virus komt binnen als een waarschuwing van Microsoft om de software te updaten. De gebruiker kan een venster te zien krijgen met een optie om de software te updaten. Of hij nu `ja' of `nee' klikt, maakt niet uit, het virus wordt toch geïnstalleerd. Swen is één van de weinige wormen die zich verspreidt als een mailtje dat is opgemaakt in html. Het mailtje is gesignaleerd met diverse verschillende onderwerpen zoals `MS Technical Assistance', `cumulative patch' en `three newly discovered vulnerabilities'. Verspreiding via e-mail gebeurt via zowel Outlook als via een eigen smtp-engine (Simple Mailer Transfer Protocol). Als de worm is geïnstalleerd, plaatst het zichzelf in het Windows register zodat het geactiveerd wordt zodra Windows opnieuw opstart. Het virus schakelt de anti-virussoftware uit en zoekt naar irc-clients en p2p-software. Als het een programma zoals Kazaa vindt, opent het virus het programma en plaatst het enkele kopieën van zichzelf in de `gedeelde map'. Op deze manier verspreidt het virus zich ook via p2p-netwerken. Diverse anti-virussoftwaremakers hebben ontdekt dat Swen opvallend veel lijkt op het W32.Gibe-virus dat in februari van dit jaar rondging. Ook dit virus verspreidde zich via e-mail, irc-kanalen en p2p-software en deed zich voor als een softwareupdate van Microsoft.