W32/IRCBot.GNS представлява троянски кон, съдържащ задна вратичка.

Задните вратички представляват програми, които позволяват на отдалечен хакер да получи достъп до заразената система, на която да изпълнява команди.

W32/IRCBot.GNS се появява в системата като се поставя от други злонамерени програми.

Когато се стартира тя създава свое копие в:

windir%\mservice.exe

Забележка: %windir% е Windows директорията, обикновено C:\Windows\

Тя създава точка за стартиране в регистъра.

Злонамерената програма се опитва да установи връзка със следния IRC сървър и де се включи в канала #pBot:

http.xn--mg-kka.com:[премахнато]/TCP

Наличието на изходящ трафик към този адрес е наличие на симптом на заразата.

Тя създава следните записи в регистъра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
MSN = C:\Windows\mservice.exe

Създава и следния файл:

%windir%/mservice.exe

Действията на W32/IRCBot.GNS са да:

• осъществява DDoS към определено IP;
• сваля и стартира определени файлове;
• разпространява се чрез MSN или AIM протоколи;
• настройва IE да запомня пароли на заразената система;
• самоактуализира се