HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSrundll32 = rundll32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RegisteredOwner = FireburN

Como resultado de la primera de las modificaciones, el gusano se activa cada vez que Windows se reinicia.

Con la segunda modificación, su presencia queda registrada y si seleccionamos el icono Mi PC con el botón derecho, en Propiedades, aparece en "Registrado a nombre de:" el nombre "FireburN".

Para enviarse por correo, el gusano utiliza el Outlook, accede a su libreta de direcciones, y se envía a todas las que allí encuentre.

Dependiendo de la configuración del sistema el mensaje puede tener asuntos y cuerpos diferentes.

Si "ProgramFilesDir" es "Programme" (por defecto en las versiones alemanas de Windows), envía este mensaje: 

Asunto:

Moin, alles klar?

Texto del mensaje:

Hi, wie geht's dir?
Guck dir mal das Photo im Anhang an, ist echt geil ;)
bye, bis dann.. 

Si no es "Programme" (por ejemplo en español sería "Archivos de programa"), entonces envía este mensaje:

Asunto:

Hi, how are you?

Texto del mensaje:

Hi, look at that nice Pic attached !
Watching it is a must ;)
cu later...

El archivo adjunto es seleccionado al azar de estas 8 variantes de supuestas imágenes pornográficas:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE!!!.JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE!!.JPG.vbs
!Jany__Gets-fucked!.GIF.vbs
cute__EmmaPeel!!!.JPG.vbs
Julie17__xxx.GIF.vbs 

Una copia del gusano, con el mismo nombre (seleccionado al azar), también se crea en el directorio de Windows. Esa será la copia que será vinculada a todos los mensajes infectados.

Infección a través del IRC

Para propagarse vía IRC, el gusano busca el programa de chat mIRC, en algún directorio llamado MIRC en la raíz de la unidad C: (C:\MIRC) o en la carpeta asignada a "ProgramFilesDir", por defecto "C:\Archivos de programa" en español (\Archivos de programa\MIRC) y si existe dentro de esa carpeta un archivo llamado MIRC.INI, entonces crea un archivo SCRIPT.INI.

Ese archivo contiene las instrucciones para enviar el archivo del propio worm a todos los que se conecten al mismo canal de IRC donde se conecta la máquina del usuario infectado, y para generar algunos mensajes de acuerdo a ciertas condiciones dadas.

Cuando una conexión a un servidor de IRC es realizada, se producen las siguientes acciones:

Se mueve temporalmente el archivo principal del virus RUNDLL32.VBS, de la carpeta Windows a Windows\System, con un nombre seleccionado al azar (de la lista que se muestra más arriba). Al desconectarse del canal de IRC, el archivo vuelve a ser copiado en Windows, con su nombre RUNDLL32.VBS.

Se envía el mensaje "Burn, Burn, Burn :)" a un canal #virus, si el mIRC se conecta a este.

Cuando alguien se une al canal actual, el archivo infectado es enviado al mismo (desde el directorio Windows\System).

Cuando alguien escribe la palabra "sex" en el canal, el archivo es enviado a dicha persona.

Cualquiera que escriba "virus", "worm" o "script" es ignorado.

Se generan además otras respuestas automáticas ante determinadas frases.

Si el texto contiene las palabras "die lamer", entonces se saldrá del mIRC luego de ser enviado el texto: "I'll commit suicide! R.I.P".

Si el texto contiene la palabra "fire", entonces se enviará el mensaje "Burn, Burn, Burn :)"

Si el texto contiene el nick del usuario, entonces se enviará el mensaje: "Smurf_Me".

Después de enviar el virus a través del mIRC, el script cargará la aplicación Outlook y creará un e-mail que es enviado a cada contacto de la libreta de direcciones del PC infectado, con una copia del virus adjunta.

En todos los casos, se crea un solo mensaje con todos los destinatarios en el campo CCO, o sea copia oculta. Además el email se borra de la carpeta "Elementos enviados", para que una víctima desprevenida no sospeche nada.

Este payload (rutina maliciosa) de enviarse a través del Outlook o del IRC, se activa cada vez que el PC se inicia, pero si la fecha es 20 de junio, entonces se genera esta otra acción:

Primero se muestra el siguiente mensaje:

FireburN
I'm proud to say that you are infected by FireburN !

Luego se deshabilita el teclado y el mouse, modificando las siguientes claves del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 Shut_Up = "rundll32 mouse,disable"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Shut_Up2 = "rundll32 keyboard,disable"

El gusano contiene el siguiente texto:

VBS.FIREBURN.A -- mIRC/Outlook worm coded by fireburn
Polymorphic: Changing the actual filename on each start...
greets: to all members of 'UnCreativeLabs

Note que se utiliza el truco de la doble extensión. Los .VBS son ejecutables de Visual Basic Script (VBS). Al ser su extensión .JPG.VBS por ejemplo, la extensión .VBS quedará oculta y por lo tanto aparentará ser un archivo de imagen: .JPG, haciéndonos pensar tal vez en su inocencia.

Para que ello no ocurra, recomendamos DESMARCAR dicha opción, a los efectos de no caer en estas trampas, y poder ver siempre la verdadera extensión de un archivo.

Como hemos mencionado otras veces, este tipo de virus es incapaz de ejecutarse si deshabilitamos las opciones de Windows Scripting Host de nuestro PC.