Blebla.B
病毒名称:Blebla.B
别名:Troj_Blebla.B,Verona, Verona.B,W32/Blebla.B@MM
病毒特点:
该病毒为一网络蠕虫,通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件,附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时,它的HTML部分被执行,这部分包含一个能自动运行的脚本,由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件,向被感染用户邮件地址簿的地址发送邮件。
病毒运行的时候,它将自身复制到C:\\Windows\\sysrnj.exe,并在注册表中创建以下内容:
HKEY_CLASSES_ROOT\\rnjfile
\\DefaultIcon= %1
\\shell\\open\\command = sysrnj.exe "%1" %*
当"rnjfile" 被指定,上面提到的键值将运行这个蠕虫副本,接着修改下列键值:
HKEY_CLASSES_ROOT
\\.exe = rnjfile
\\.jpg = rnjfile
\\.jpeg = rnjfile
\\.jpe = rnjfile
\\.bmp = rnjfile
\\.gif = rnjfile
\\.avi = rnjfile
\\.mpg = rnjfile
\\.mpeg = rnjfile
\\.wmf = rnjfile
\\.wma = rnjfile
\\.wmv = rnjfile
\\.mp3 = rnjfile
\\.mp2 = rnjfile
\\.vqf = rnjfile
\\.doc = rnjfile
\\.xls = rnjfile
\\.zip = rnjfile
\\.rar = rnjfile
\\.lha = rnjfile
\\.arj = rnjfile
\\.reg = rnjfile
上面列出的任何一个文件被打开都将使该蠕虫副本启动。
该蠕虫将自身发送到新闻组 alt.comp.virus ,消息内容如下:
From: "Romeo&Juliet"
Subject:[Romeo&Juliet] R.i.P.
蠕虫病毒执行时,将读取用户邮件地址簿中的地址,并向这些地址发送邮件,邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题:
Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ???
lol :)
,,...''
!!!
newborn
merry christmas!
surprise !
Caution: NEW VIRUS !
scandal !
^_^
Re: