病毒名稱:
Blebla.B別名:
Troj_Blebla.B,Verona, Verona.B,W32/Blebla.B@MM病毒特點:
該病毒為一網路蠕蟲,通過電子郵件進行傳播。郵件包含一個超文本格式的文檔和兩個附屬檔案,附屬檔案的名稱分別為xromeo.exe和xjuliet.chm。當帶毒信件打開時,它的HTML部分被執行,這部分包含一個能自動運行的腳本,由它來啟動一個名為xjuliet.chm的檔案。最後由CHM運行真正的病毒實體xromeo.exe。並將以上兩個檔案作為附屬檔案,向被感染用戶郵件地址簿的地址傳送郵件。病毒運行的時候,它將自身複製到C:\Windows\sysrnj.exe,並在註冊表中創建以下內容:
HKEY_CLASSES_ROOT\rnjfile
\DefaultIcon= %1
\shell\open\command = sysrnj.exe "%1" %*
當"rnjfile" 被指定,上面提到的鍵值將運行這個蠕蟲副本,接著修改下列鍵值:
HKEY_CLASSES_ROOT
\.exe= rnjfile
\.jpg= rnjfile
\.jpeg = rnjfile
\.jpe= rnjfile
\.bmp= rnjfile
\.gif= rnjfile
\.avi= rnjfile
\.mpg= rnjfile
\.mpeg = rnjfile
\.wmf= rnjfile
\.wma= rnjfile
\.wmv= rnjfile
\.mp3= rnjfile
\.mp2= rnjfile
\.vqf= rnjfile
\.doc= rnjfile
\.xls= rnjfile
\.zip= rnjfile
\.rar= rnjfile
\.lha= rnjfile
\.arj= rnjfile
\.reg= rnjfile
上面列出的任何一個檔案被打開都將使該蠕蟲副本啟動。
該蠕蟲將自身傳送到新聞組 alt.comp.virus ,訊息內容如下:
From: "Romeo&Juliet"
Subject:【Romeo&Juliet】 R.i.P.
蠕蟲病毒執行時,將讀取用戶郵件地址簿中的地址,並向這些地址傳送郵件,郵件包含超文本格式的文檔和兩個附屬檔案。使用空的、隨機產生的主題或是下面列出的任意一個主題:
Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...'
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
^_^
Re: