IRC病毒集黑客、蠕蟲、後門功能於壹體,通過局域網***享目錄和系統漏洞進行傳播。病毒自帶有簡單的口令字典,用戶如不設置密碼或密碼過於簡單都會使系統易受病毒影響。
病毒運行後將自己拷貝到系統目錄下(Win 2K/NT/XP操作系統為系統盤的system32,win9x為系統盤的system),文件屬性隱藏,名稱不定,這裏假設為xxx.exe,壹般都沒有圖標。病毒同時寫註冊表啟動項,項名不定,假設為yyy。病毒不同,寫的啟動項也不太壹樣,但肯定都包含這壹項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx.exe
其他可能寫的項有:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\ yyy : xxx.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\ yyy : xxx.exe
也有少數會寫下面兩項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx.exe
此外,壹些IRC病毒在2K/NT/XP下還會將自己註冊為服務啟動。
病毒每隔壹定時間會自動嘗試連接特定的IRC服務器頻道,為黑客控制做好準備。黑客只需在聊天室中發送不同的操作指令,病毒就會在本地執行不同的操作,並將本地系統的返回信息發回聊天室,從而造成用戶信息泄露。