Aunque no se trata de un código especialmente peligroso, destaca por su capacidad para disfrazarse casi a la perfección como un archivo de imagen .GIF. Para llegar a hacer esto, utiliza un script malicioso que posee la cabecera y extensión habitual de los mencionados archivos gráficos.

A diferencia de otros códigos maliciosos para mIRC, no tiene capacidad para auto-enviarse, sino que debe hacerse de forma voluntaria y malintencionada. Así, junto con el archivo .GIF, con cualquier tipo nombre y 180801 bytes, el atacante incluye la instrucción: /load -rs c:\mirc\dcc\imagenes\nombrefichero.gif

Una vez que el usuario ejecuta el fichero que ha recibido por IRC, se muestra el siguiente mensaje de error:

ERROR: Version del mirc 5.82 no compatible.

Aceptar

 
Por otro lado, crea una copia de sí mismo en el directorio de Windows con el nombre HIMEM32.SYS. Para ejecutarse cada vez que se inicie la aplicación de chat mIRC, introduce una línea dentro de la sección [rfiles] del fichero MIRC.INI. Esta línea es la siguiente:

N2=c:\windows\himem32.sys

mIRC/Gif está preparado para comunicarse a través del puerto 64000 del equipos y recoger información del sistema atacado.

Como añaden desde Panda Software, con la aparición de este nuevo código se confirma la tendencia de los autores de virus a utilizar la apariencia de archivos informáticos considerados hasta la fecha como "seguros".