El virus IRC/Zapchast.U. permite acceso remoto vía IRC

ambién intenta comunicarse con un servidor remoto vía HTTP.

Cuando se ejecuta, instala múltiples archivos en el sistema, y crea una entrada en la siguiente rama del registro para ejecutar el cliente de IRC en futuros reinicios del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[valor] = [camino y nombre del troyano]

El troyano ejecuta dicha clave y luego esconde su proceso con la utilidad HIDEWINDOW, uno de los archivos que instala al ejecutarse.

También puede crear algunas de las siguientes entradas, algunas de ellas para ejecutarse cuando el usuario abra archivos con extensiones .CHA o .IRC:

HKCR\ChatFile\DefaultIcon
(Predeterminado) = [copia del troyano]

HKCR\ChatFile\Shell\open\command
(Predeterminado) = [copia del troyano]

HKCR\irc\DefaultIcon
(Predeterminado) = [copia del troyano]

HKCR\irc\Shell\open\command
(Predeterminado) = [copia del troyano]

HKCU\Software\Microsoft\Microsoft Agent\

HKLM\SOFTWARE\CLASSES\ChatFile\DefaultIcon
(Predeterminado) = [copia del troyano]

HKLM\SOFTWARE\CLASSES\ChatFile\Shell\open\command
(Predeterminado) = [copia del troyano]

HKLM\SOFTWARE\CLASSES\irc\DefaultIcon
(Predeterminado) = [copia del troyano]

HKLM\SOFTWARE\CLASSES\irc\Shell\open\command
(Predeterminado) = [copia del troyano]

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\mIRC\

Se conecta a un servidor de IRC para ejecutar sus scripts. Además de provocar ataques distribuidos de negación de servicio (DDoS), e IRC flooding (envío de información basura al servidor de modo que el usuario termina siendo desconectado del mismo), el troyano escanea el puerto 445 en busca de otros clientes de IRC (computadoras previamente infectadas), o simplemente con recursos disponibles.