Blebla.B病毒

Blebla.B

Troj_Blebla.B，Verona， Verona.B，W32/Blebla.B@MM

  

    该病毒为一网络蠕虫，通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件，附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时，它的HTML部分被执行，这部分包含一个能自动运行的脚本，由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件，向被感染用户邮件地址簿的地址发送邮件。

    病毒运行的时候，它将自身复制到C:Windowssysrnj.exe，并在注册表中创建以下内容：
    HKEY_CLASSES_ROOT njfile
    DefaultIcon= %1
    shellopencommand = sysrnj.exe "%1" %*
　　当"rnjfile" 被指定，上面提到的键值将运行这个蠕虫副本，接着修改下列键值：

HKEY_CLASSES_ROOT
        .exe  = rnjfile
        .jpg  = rnjfile
        .jpeg = rnjfile
        .jpe  = rnjfile
        .bmp  = rnjfile
        .gif  = rnjfile
        .avi  = rnjfile
        .mpg  = rnjfile
        .mpeg = rnjfile
        .wmf  = rnjfile
        .wma  = rnjfile
        .wmv  = rnjfile
        .mp3  = rnjfile
        .mp2  = rnjfile
        .vqf  = rnjfile
        .doc  = rnjfile
        .xls  = rnjfile
        .zip  = rnjfile
        .rar  = rnjfile
        .lha  = rnjfile
        .arj  = rnjfile
        .reg  = rnjfile

    上面列出的任何一个文件被打开都将使该蠕虫副本启动。

该蠕虫将自身发送到新闻组 alt.comp.virus ，消息内容如下：
　　From: "Romeo&Juliet"
　　 Subject:【Romeo&Juliet】 R.i.P.

　　蠕虫病毒执行时，将读取用户邮件地址簿中的地址，并向这些地址发送邮件，邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题：
　　 Romeo&Juliet
　　where is my juliet ?
　　where is my romeo ?
　　hi
　　last wish ???
　　lol :)
　　,,...
　　!!!
　　newborn
　　merry christmas!
　　surprise !
　　Caution: NEW VIRUS !
　　scandal !
　　^_^
　　 Re: