病毒名称:Blebla.B
别名:Troj_Blebla.B,Verona, Verona.B,W32/Blebla.B@MM
病毒特点:
该病毒为一网络蠕虫,通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件,附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时,它的HTML部分被执行,这部分包含一个能自动运行的脚本,由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件,向被感染用户邮件地址簿的地址发送邮件。
病毒运行的时候,它将自身复制到C:Windowssysrnj.exe,并在注册表中创建以下内容:
HKEY_CLASSES_ROOT
njfile
DefaultIcon= %1
shellopencommand = sysrnj.exe "%1" %*
当"rnjfile" 被指定,上面提到的键值将运行这个蠕虫副本,接着修改下列键值:
HKEY_CLASSES_ROOT
.exe = rnjfile
.jpg = rnjfile
.jpeg = rnjfile
.jpe = rnjfile
.bmp = rnjfile
.gif = rnjfile
.avi = rnjfile
.mpg = rnjfile
.mpeg = rnjfile
.wmf = rnjfile
.wma = rnjfile
.wmv = rnjfile
.mp3 = rnjfile
.mp2 = rnjfile
.vqf = rnjfile
.doc = rnjfile
.xls = rnjfile
.zip = rnjfile
.rar = rnjfile
.lha = rnjfile
.arj = rnjfile
.reg = rnjfile
上面列出的任何一个文件被打开都将使该蠕虫副本启动。
该蠕虫将自身发送到新闻组 alt.comp.virus ,消息内容如下:
From: "Romeo&Juliet"
Subject:[Romeo&Juliet] R.i.P.
蠕虫病毒执行时,将读取用户邮件地址簿中的地址,并向这些地址发送邮件,邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题:
Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...'
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
^_^
Re: