Az Ircbrute féreg a fertőzött számítógépeken nem igazán spórol a regisztrációs adatbázis módosításával, hiszen abba - szorgalmas kártevő módjára - számos új bejegyzést hoz létre. Ezt követően minden elérhető és írható cserélhető meghajtóra felmásolja a saját fertőzött állományait, és arról is gondoskodik, hogy az adattárolók újbóli csatlakoztatásakor automatikusan be tudjon töltődni.

Az Ircbrute féreg legnagyobb veszélye, hogy egy hátsó kaput nyit a fertőzött rendszereken, és ezzel szabad bejárást biztosít a támadók számára. Ezt követően pedig szolgáltatásmegtagadási támadásokba lendül.

A kártékony program képes a saját állományainak - Interneten keresztül történő - frissítésére is.

Amikor az Ircbrute féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Megfertőzi az explorer.exe folyamatot.

2. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

3. Létrehozza a következő fájlokat:
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"internet security manager" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Printer Spooler" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\"StubPath": "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}\"StubPath" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\"StubPath": "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}\"StubPath" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"

5. A regisztrációs adatbázisban létrehozza az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}  c

6. Minden cserélhető meghajtóra felmásol egy spoolsv.exe, egy dll32.exe és egy autorun.inf nevű állományt.

7. A 7000-es és a 6667-es TCP portokon keresztül távoli szerverekhez kapcsolódik.

8. Hátsó kaput nyit a fertőzött rendszereken.

9. Interneten keresztül frissíti a saját fájljait

10. Szolgáltatásmegtagadási támadásokat kezdeményez.