Tentokrát se jedná nákazu, která se na rozdíl od prvních verzí viru Zotob šíří poměrně rychle.Červ IRCbot (označovaný také jako Esbot, IRCbot, Sdbot, Rbot, aj.) nevyužívá ke svému šíření ani vyhledávání napadnutelných počítačů prostřednictvím internetu ani elektronickou poštu, ale komunikační systém IRC.
Tento vir, pokud pronikne do počítače, uloží se do systémového adresáře pod názvem mousebm.exe a mousemm.exe. Poté co se spustí identifikuje se jako Mouse Button Monitor (mousebm) a Mouse Movement Monitor (mousemm). Svůj kód následně vloží do souboru explorer.exe.
Následně se spojí s IRC servery prostřednictvím portu TCP 30722, odkud očekává další příkazy.
ZOTOB.E
Ještě dramatičtější se však zdá šíření další varianty viru Zotob, kterou však některé antivirové firmy také označují jako varianty IRCbot, či Rbot.V tomto případě se při spuštění viru však do systémového adresáře Windows ukládá soubor wintbp.exe. Vir se poté pokouší zjistit síťové připojení a IP adresy, kam by se mohl šířit. Přes port TCP 8080 se následně připojí k IRC serveru a čeká na případné úkoly. Vedle toho se pokouší otevřít UDP port a spustit TFTP.
K dalšímu šíření využívá vygenerované IP adresy, které jako základ využívají první 2 části oktetu IP adresy napadeného počítače. Na nezáplatované počítače pak útočí přes port TCP 445. Úspěšný útok znamená otevření zadních vrátek na portu TCP 8594, kudy stahuje TFTP skript, který následně stáhne a spustí samotný vir.
