WordPress 中文文档
Blebla.B病毒
From WordPress Chinese
病毒名称:Blebla.B 别名:Troj_Blebla.B,Verona, Verona.B,W32/Blebla.B@MM
病毒特点:
该病毒为一网络蠕虫,通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件,附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时,它的HTML部分被执行,这部分包含一个能自动运行的脚本,由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件,向被感染用户邮件地址簿的地址发送邮件。
病毒运行的时候,它将自身复制到C:\Windows\sysrnj.exe,并在注册表中创建以下内容: HKEY_CLASSES_ROOT\rnjfile \DefaultIcon= %1 \shell\open\command = sysrnj.exe "%1" %*
当"rnjfile" 被指定,上面提到的键值将运行这个蠕虫副本,接着修改下列键值:
HKEY_CLASSES_ROOT
\.exe = rnjfile
\.jpg = rnjfile
\.jpeg = rnjfile
\.jpe = rnjfile
\.bmp = rnjfile
\.gif = rnjfile
\.avi = rnjfile
\.mpg = rnjfile
\.mpeg = rnjfile
\.wmf = rnjfile
\.wma = rnjfile
\.wmv = rnjfile
\.mp3 = rnjfile
\.mp2 = rnjfile
\.vqf = rnjfile
\.doc = rnjfile
\.xls = rnjfile
\.zip = rnjfile
\.rar = rnjfile
\.lha = rnjfile
\.arj = rnjfile
\.reg = rnjfile
上面列出的任何一个文件被打开都将使该蠕虫副本启动。
该蠕虫将自身发送到新闻组 alt.comp.virus ,消息内容如下: From: "Romeo&Juliet" Subject:[Romeo&Juliet] R.i.P.
蠕虫病毒执行时,将读取用户邮件地址簿中的地址,并向这些地址发送邮件,邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题: Romeo&Juliet where is my juliet ? where is my romeo ? hi last wish ??? lol :) ,,...' !!! newborn merry christmas! surprise ! Caution: NEW VIRUS ! scandal ! ^_^ Re:
