Blebla.B

病毒名称：Blebla.B

别名：Troj_Blebla.B，Verona， Verona.B，W32/Blebla.B@MM

病毒特点：

该病毒为一网络蠕虫，通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件，附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时，它的HTML部分被执行，这部分包含一个能自动运行的脚本，由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件，向被感染用户邮件地址簿的地址发送邮件。

病毒运行的时候，它将自身复制到C:\\Windows\\sysrnj.exe，并在注册表中创建以下内容：

HKEY_CLASSES_ROOT\\rnjfile

\\DefaultIcon= %1

\\shell\\open\\command = sysrnj.exe "%1" %*

当"rnjfile" 被指定，上面提到的键值将运行这个蠕虫副本，接着修改下列键值：

HKEY_CLASSES_ROOT

\\.exe = rnjfile

\\.jpg = rnjfile

\\.jpeg = rnjfile

\\.jpe = rnjfile

\\.bmp = rnjfile

\\.gif = rnjfile

\\.avi = rnjfile

\\.mpg = rnjfile

\\.mpeg = rnjfile

\\.wmf = rnjfile

\\.wma = rnjfile

\\.wmv = rnjfile

\\.mp3 = rnjfile

\\.mp2 = rnjfile

\\.vqf = rnjfile

\\.doc = rnjfile

\\.xls = rnjfile

\\.zip = rnjfile

\\.rar = rnjfile

\\.lha = rnjfile

\\.arj = rnjfile

\\.reg = rnjfile

上面列出的任何一个文件被打开都将使该蠕虫副本启动。

该蠕虫将自身发送到新闻组 alt.comp.virus ，消息内容如下：

From: "Romeo&Juliet"

Subject:[Romeo&Juliet] R.i.P.

蠕虫病毒执行时，将读取用户邮件地址簿中的地址，并向这些地址发送邮件，邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题：

Romeo&Juliet

where is my juliet ?

where is my romeo ?

hi

last wish ???

lol :)

,,...''

!!!

newborn

merry christmas!

surprise !

Caution: NEW VIRUS !

scandal !

^_^

Re: