Blebla.B

王朝百科·作者佚名  2010-01-21
窄屏简体版  字體: |||超大  

病毒名称:Blebla.B

别名:Troj_Blebla.B,Verona, Verona.B,W32/Blebla.B@MM

病毒特点:

该病毒为一网络蠕虫,通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件,附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时,它的HTML部分被执行,这部分包含一个能自动运行的脚本,由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件,向被感染用户邮件地址簿的地址发送邮件。

病毒运行的时候,它将自身复制到C:Windowssysrnj.exe,并在注册表中创建以下内容:

HKEY_CLASSES_ROOT

njfile

DefaultIcon= %1

shellopencommand = sysrnj.exe "%1" %*

当"rnjfile" 被指定,上面提到的键值将运行这个蠕虫副本,接着修改下列键值:

HKEY_CLASSES_ROOT

.exe = rnjfile

.jpg = rnjfile

.jpeg = rnjfile

.jpe = rnjfile

.bmp = rnjfile

.gif = rnjfile

.avi = rnjfile

.mpg = rnjfile

.mpeg = rnjfile

.wmf = rnjfile

.wma = rnjfile

.wmv = rnjfile

.mp3 = rnjfile

.mp2 = rnjfile

.vqf = rnjfile

.doc = rnjfile

.xls = rnjfile

.zip = rnjfile

.rar = rnjfile

.lha = rnjfile

.arj = rnjfile

.reg = rnjfile

上面列出的任何一个文件被打开都将使该蠕虫副本启动。

该蠕虫将自身发送到新闻组 alt.comp.virus ,消息内容如下:

From: "Romeo&Juliet"

Subject:[Romeo&Juliet] R.i.P.

蠕虫病毒执行时,将读取用户邮件地址簿中的地址,并向这些地址发送邮件,邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题:

Romeo&Juliet

where is my juliet ?

where is my romeo ?

hi

last wish ???

lol :)

,,...'

!!!

newborn

merry christmas!

surprise !

Caution: NEW VIRUS !

scandal !

^_^

Re:

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航