この記事は、解析する人にはうれしいんだろうねｗ、僕にはよくわかんない。

W32.Virut は、Windows ファイルに感染するワームとして、2006 年から確認されています。常に脅威チャートの上位 10 位以内に入っているので、定期的な監視が必要です。
最近の亜種の解析から、ボットとコマンド & コントロールサーバーとの間の通信プロトコルを強化する変更が加えられたことが判明しています。これは、ブラックリストへの登録やシンクホールによる捕捉を防ぎ、コマンド & コントロールサーバーが乗っ取られることを避けるためです。
Virut は、コマンド & コントロール（C&C）サーバーとして機能する 2 つの IRC サーバーのいずれかに接続します（現在これはilo.brenz.pl とant.trenz.pl です）。IRC コマンドは暗号化され、TCP ポート 80 と 443 を経由してトンネリングされるのが普通ですが、これらは HTTP と HTTPS がそれぞれ使うポートです。C&C によって送信されるメインコマンドは、追加のマルウェアをダウンロードしてインストールするようボットに指示します。

暗号化を利用してドメイン乗っ取りを防止する W32.Virut | Symantec Connect