Si bien no se trata de un virus especialmente peligroso, destaca por su capacidad para disfrazarse de forma casi perfecta como un fichero de imagen tipo «gif». Ello lo consigue gracias a que el script malicioso (el código del troyano) posee la cabecera y extensión habitual de los mencionados archivos gráficos.
A diferencia de otros códigos maliciosos para mIRC, no tiene capacidad de enviarse automáticamente, sino que ha de hacerse de forma voluntaria y malintencionada. Así, junto con el fichero de extensión «gif», que puede tener cualquier nombre, el atacante incluye la instrucción: /load -rs c:mircdccimagenesnombrefichero.gif.
Si el receptor del archivo ejecuta la orden antes mencionada, el troyano se ejecutará mostrando una pantalla de error de la aplicación de mIRC:
<<...OLE_Obj...>>
Al mismo tiempo, mIRC/Gif crea, en el directorio de Windows del equipo afectado, un fichero denominado HIMEM32.SYS que contiene una copia del virus. Además, genera una entrada en el archivo MIRC.INI para que el troyano se ejecute cada vez que se inicie la aplicación de chat mIRC.
Finalmente, destacar que mIRC/Gif está preparado para comunicarse a través del puerto 64000 del equipo y recoger información del ordenador afectado.
Por otra parte, la aparición de códigos maliciosos como mIRC/Gif confirma la tendencia de los creadores de virus a utilizar la apariencia de archivos informáticos considerados hasta la fecha como «seguros», tal y como la multinacional española adelantó recientemente (http://www.pandasoftware.es/vernoticia.asp?noticia=1265).
Panda Software ya ha puesto a disposición de los usuarios la correspondiente actualización de sus antivirus para la detección y eliminación de mIRC/Gif, que puede ser descargada en http://www.pandasoftware.es. Además, recuerda la necesidad de extremar en todo momento las precauciones con cualquier fichero recibido a través de correo electrónico, mIRC o servicios de mensajería instantánea.
Puede consultarse información técnica detallada sobre mIRC/Gif en la Enciclopedia de Virus de Panda Software, en la dirección
