Se trata de una nueva amenaza escrita en Visual Basic script que se difunde vía Outlook y mIRC.

Cuando se ejecuta el script de Visual Basic, guarda una copia de sí mismo en [directorio de windows]\rundll32.vbs y altera el registro de modo que se ejecute este programa cuando se reinicia el equipo.

Los registros que modifica son:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSrundll32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner

El virus intenta descubrir si el directorio de Windows es C:\Programme. En caso afirmativo, los efectos del virus aparecerán en alemán; en caso negativo, aparecerán en inglés. Luego elige un nombre de archivo al azar de una lista de nombres de archivos catalogados como X.

A continuación, el script busca el cliente mIRC Internet Relay Chat en c:\MIRC o en [carpeta de archivos de programas]\mirc. Si lo encuentra, sobrescribe el archivo script.ini con otro nuevo. de modo que si alguien escribe la palabra "sex" en el canal, el archivo le es enviado desde el directorio Sistema de Windows. Cualquiera que mencione "virus", "worm" o "script" es ignorado.

El paso siguiente que da el script es crear un email que se envía como copia oculta a todos los contactos de la agenda de Outlook. El email contiene el virus con un archivo atachado con el nombre elegido previamente. El formato del correo electrónico es:

Asunto: Moin, alles klar? (en alemán)
Hi, how are you) (en inglés)

Hi, wie geht's dir?
Guck dir mal das Photo im Anhang an, ist echt geil ;)
bye, bis dann...

o bien,

Hi, look at that nice Pic attached!
Watching it is a must ;)
cu later...

Posteriormente, el email es borrado de la carpeta de elementos enviados, de modo que la víctima no se dará cuenta de lo que ha hecho.

El día 20 de junio, el virus muestra un mensaje:

I'm proud to say that you are infected by Fireburn!

Cuando se cierra la ventana de este mensaje, se actualiza el registro para inhabilitar el ratón y el teclado la próxima vez que se arranque el PC.