Email-Worm.VBS.Fireburn

Détails techniques

C'est un ver Internet qui se propage comme un fichier VBS attaché à des messages électroniques. Pour envoyer des messages infectés, le ver utilise MS Outlook. Le ver est également capable d'envoyer ses copies aux canaux IRC en infectant un client mIRC.

Lorsque le fichier ver est activé (en double-cliquant sur le fichier joint dans les messages infectés, ou en étant accepté comme téléchargement IRC), il s'installe dans le système en copiant son code dans le répertoire Windows avec le nom RUNDLL32.VBS et en l'enregistrant dans la section d'exécution automatique du registre Windows:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
MSrundll32 = rundll32.vbs

Par conséquent, le ver s'active à chaque démarrage de Windows.

E-mails

Lors de l'envoi de ses copies, le ver se connecte à MS Outlook, accède au carnet d'adresses et envoie ses copies à toutes les adresses répertoriées. Selon la configuration du système, le message a un objet et un corps différents. Sous la version Windows allemande, le message apparaît comme suit:

Sujet : Moin, alles klar?
Corps : Salut, le dossier de wie geht?
Guck dir mal das Photo dans Anhang an, ist echt geil;)
au revoir, bis dann ..

Sous Windows non allemand:

Objet : Salut, comment vas-tu?
Corps : Salut, regarde ce joli Pic attaché!
Regarder c'est un must;)
à plus tard…

Le nom de fichier joint est sélectionné au hasard parmi huit variantes:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE !!!. JPG.vbs
CuteJany__BigTits! .GIF.vbs
MyGirlfriend__NUDE! .JPG.vbs
Aguiliera__NUDE !!. JPG.vbs
! Jany__Gets-fucked! .GIF.vbs
cute__EmmaPeel !!!. JPG.vbs
Julie17__xxx.GIF.vbs

Une copie du ver avec le même nom (sélectionné aléatoirement) est également créée dans le répertoire Windows (exactement cette copie est attachée aux messages infectés).

Infection IRC

Pour se propager aux canaux IRC, le ver crée un fichier système SCRIPT.INI mIRC dans le répertoire mIRC (s'il est installé). Le ver recherche un répertoire C: MIRC ainsi qu'un répertoire MIRC dans "Program Files". Si mIRC est installé, le ver dépose un nouveau fichier SCRIPT.INI à cet emplacement. Ce fichier contient un ensemble d'instructions qui envoie le fichier ver à tous ceux qui entrent dans un canal infecté.

Le script mIRC aussi:

• déplace temporairement le fichier RUNDLL32.VBS du ver de Windows vers le répertoire système Windows avec l'un des noms aléatoires répertoriés ci-dessus (lors de la déconnexion du canal IRC, il replace le fichier VBS dans le répertoire Windows avec le même nom RUNDLL32.VBS)
• envoie le message "Burn, Burn, Burn :)" à une conférence "virus";
• masque les messages de type virus dans la conférence en cours (ignore les messages contenant l'un des mots: "script", "virus", "ver")
• sur le texte "die lamer" dans le chat, le script quitte la chaîne avec le message "Je vais me suicider! RIP"
• sur le texte "fire", affiche le texte "Burn Burn Burn :)"

Routine de charge utile

La routine de charge utile est activée le 20 juin. Il affiche le message suivant:

Brûlure
Je suis fier de dire que vous êtes infecté par FireburN!

et désactive le clavier et la souris en modifiant les deux clés de registre système suivantes:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up = "souris rundll32, désactiver"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up2 = "clavier rundll32, désactiver"

Divers

Le ver modifie également le champ "Registered Owner" dans "MyComputer / Properties", la nouvelle valeur est "FireburN". Cela est effectué en modifiant la clé de Registre suivante:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = FireburN

Le code du ver contient également le texte "copyright":

VBS.FIREBURN.A – Ver mIRC / Outlook codé par fireburn
Polymorphique: Changer le nom de fichier actuel à chaque démarrage …
salue: à tous les membres de 'UnCreativeLabs'