Dies ist ein IRC-Wurm, der sich mit Hilfe der Script Funktionen vonmIRC verbreitet. (mIRC ist also der einzige IRC-Client der infiziert werden kann). Wird die Datei EL_15.bmp.exe gestartet kopiert sie sich in nach C:\windows\System\El_15.bmp.exe (2278 Bytes), ändert die Datei Script.ini im Verzeichnis C:\mIRC\ und ändert auch die Datei mIRC.ini dahingehend, das die Warnung beim Öffnen des File Servers ausgeschaltet wird.
Der Wurm infiziert das mIRC Script nur dann wenn es im Verzeichnis C:\mIRC\ liegt, wenn das Verzeichnis dort nicht vorhanden ist wird nur die Datei in das Windows-System Verzeichnis kopiert und bleibt dort uneffektiv liegen.
Der Wurm öffnet einige Backdoors im mIRC Script, die z.B. den Zugriff auf Dateien ermöglichen.
Zur Entfernung sollte man den mIRC Clienten neu installieren, da die Datei Script.ini überschrieben wird, und die Datei im Windows - System Verzeichnis löschen.
Besten Dank an SnakeByte für die Analyse und Genehmigung zur Veröffentlichung auf trojaner-info !