W32/IRCBot.GNS

Se ejecuta contínuamente en segundo plano (background) y a través de su componente Backdoor permite que los intrusos tomen control en forma remota de los sistemas infectados, vía un canal de Chat.

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 67KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado al sistema se copia a la carpeta %Windir% con el nombre de mservice.exe y para activarse la próxima vez que se re-inicie el sistema, genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN" = "%Windir%\mservice.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo el malware se conecta al canal #pBot del IRC (Internet Chat Relay) y establece conexión con un determinado URL en forma contínua (loop), intentando saturar el tráfico vinculado a los sistemas infectados:

http.xn--mg-kka.com:[Removido]/TCP 

Su componente Backdoor que es ejecutado contínuamente en segundo plano (background) y en forma remota realiza las siguientes acciones:

• Descarga y ejecuta archivos malwares
• Se propaga a través de las mensajerías instantáneas MSN y AIM
• Ejecuta ataques de Denegación de Servicios (DoS) a direcciones IP específicas
• Captura contraseñas del Internet Explorer
• Controla en forma remota los sistemas infectados. 

PER ANTIVIRUS® versión X5 con registro de virus al 10 de Junio del 2008 detecta y elimina este gusano/troyano/backdoor.