Az IRCBot.EH féreg elsősorban hálózati megosztásokon valamint cserélhető meghajtókon keresztül igyekszik minél több számítógépre felkerülni. A féreg képes a Windows LSASS hibájának kihasználására, amelyről a Microsoft az MS04-011 -es biztonsági közleményében számolt be, és adott ki hibajavítást még 2004-ben. Vagyis a kártevő fokozott veszélyt jelent azon számítógépekre, amelyek nem tartalmazzák a biztonsági frissítéseket.

Az IRCBot.EH előre definiált felhasználónevek és jelszavak révén megpróbál SQL adatbázisokhoz kapcsolódni, majd egy hátsó kaput nyit a fertőzött rendszereken. Ezen keresztül a támadók többek között az alábbi műveleteket hajthatják végre:
- vágólap tartalmának másolása
- rendszer és hálózati információk megszerzése
- fájlok letöltése
- folyamatok elindítása, leállítása és listázása
- szolgáltatások elindítása, leállítása és listázása
- szolgáltatásmegtagadási támadások kezdeményezése
- DNS-műveleteket végrehajtása
- a féreg frissítése

Az IRCBot.EH további fontos jellemzője, hogy képes megkerülni, illetve hatástalanítani a Windows beépített tűzfalát.

5. Megpróbál SQL Server adatbázisokhoz kapcsolódni a 1433-as TCP porton keresztül. A kapcsolódáshoz előre meghatározott felhasználónevekből és jelszavakból válogat.