Na esteira da praga LoveLetter (o perigoso vírus de computador também conhecido como ILoveYou, programado em Visual Basic e que, por isso, pode ter seu nome facilmente alterado por quem entenda um pouco de programação), foi anunciada hoje (30/6) pela Panda Software a descoberta de um novo vírus do gênero, o Fireburn.A, com grande poder de propagação e destruição de arquivos, embora até o momento não haja notícias de ter chegado ao mundo corporativo. Ele se espalha através dos programas MS Outlook e mIRC, chegando ao computador da vítima como um suposto arquivo de foto erótica.

O vírus se envia para todas as entradas do caderno de endereços da vítima, e chega através de uma mensagem de e-mail bilíngue (alemão ou inglês), convidando o usuário a abrir uma suposta foto erótica. 

Se o computador está configurado para a língua alemã, a mensagem será: 

Assunto:                  "Moin, alles klar?"
Corpo da mensagem:  Hi, wie geht's dir? 
                              Guck dir mal das Photo im Anhang an, ist echt geil ;) bye, bis dann.."

Anexo:                     descrição abaixo

  Se o idioma do computador estiver configurado para uma linguagem diferente do alemão, o e-mail se parecerá com o seguinte: 

Assunto:                   Hi, how are you?
Corpo da mensagem:   Hi, look at that nice Pic attached ! Watching it is a must ;) cu later...
Anexo:                      descrição abaixo

A mensagem de e-mail carrega um documento anexo responsável pela infecção, que na verdade não é um JPG - conhecido formato de arquivo de imagem - mas sim um script em Visual   Basic. O arquivo pode ter os seguintes nomes: 
  · Ultra-Hardcore-Bondage.JPG.vbs 
  · Christina__NUDE!!!.JPG.vbs 
  · CuteJany__BigTits!.GIF.vbs 
  · MyGirlfriend__NUDE!.JPG.vbs 
  · Aguiliera__NUDE!!.JPG.vbs 
  · !Jany__Gets-fucked!.GIF.vbs 
  · cute__EmmaPeel!!!.JPG.vbs 
  · Julie17__xxx.GIF.vbs 

Descrição técnica do ataque: 
Ao ser executado, o Fireburn faz cópias de si mesmo na pasta Windows folder sob o nome "rundll32.vbs".  Cria as seguintes entradas no Registro e as preenche com os seguintes valores: 
  · HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
\MSrundll32 --> rundll32.vbs 
  · HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RegisteredOwner --> FireburN 

O vírus verifica o valor da seguinte entrada no Registro: 
  . HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\ProgramFilesDir 
  . Se a configuração for C:\Programme, isto significa que o idioma do computador é alemão. 
O vírus então verifica se o diretório C:\MIRC existe, ou se existe um diretório chamado MIRC na pasta Program Files. Se o arquivo MIRC.INI for encontrado nestas pastas, será criado um arquivo SCRIPT.INI, que permite que o computador se conecte via mIRC, e então faça o seguinte: 

  1.- Renomeie o arquivo RUNDLL32.VBS que está no diretório Windows e crie um arquivo com nome escolhido randomicamente na pasta Windows\System. 
  2.- Conecte ao Canal "VIRUS" e envie a seguinte mensagem a todos que estiverem conectados: "Burn, Burn, Burn :)" 
  3.- Se houver desconexão o arquivo RUNDLL32.VBS é renomeado novamente. 
  4.- O arquivo que estava na pasta \Windows\System é enviado para todos que estiverem no mesmo canal que o usuário infectado. 
  5.- Se o usuário digitar a palavra 'sex' o vírus também será enviado via mIRC.

Uma vez que o arquivo SCRIPT.INI foi criado, várias cópias com nomes randômicos do vírus podem ser encontradas no diretório Windows. O vírus utiliza a característica de enviar "cópias ocultas" (BCC - Blind Carbon Copy) para infectar os usuários do Outlook. 

Finalmente, o vírus verifica a data do computador. Se for 20 de junho, aparecerá a seguinte tela: