§ 病毒名称：

Blebla.B

§ 别名：

Troj_Blebla.B，Verona， Verona.B，W32/Blebla.B@MM

§ 病毒特点：

该病毒为一网络蠕虫，通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件，附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时，它的HTML部分被执行，这部分包含一个能自动运行的脚本，由它来启动一个名为xjuliet.chm的文件。最后由CHM运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件，向被感染用户邮件地址簿的地址发送邮件。

病毒运行的时候，它将自身复制到C:\\Windows\\sysrnj.exe，并在注册表中创建以下内容：

HKEY_CLASSES_ROOT\\rnjfile

\\DefaultIcon= %1

\\shell\\open\\command = sysrnj.exe "%1" %*

当"rnjfile" 被指定，上面提到的键值将运行这个蠕虫副本，接着修改下列键值：

HKEY_CLASSES_ROOT

\\.exe　= rnjfile

\\.jpg　= rnjfile

\\.jpeg = rnjfile

\\.jpe　= rnjfile

\\.bmp　= rnjfile

\\.gif　= rnjfile

\\.avi　= rnjfile

\\.mpg　= rnjfile

\\.mpeg = rnjfile

\\.wmf　= rnjfile

\\.wma　= rnjfile

\\.wmv　= rnjfile

\\.mp3　= rnjfile

\\.mp2　= rnjfile

\\.vqf　= rnjfile

\\.doc　= rnjfile

\\.xls　= rnjfile

\\.zip　= rnjfile

\\.rar　= rnjfile

\\.lha　= rnjfile

\\.arj　= rnjfile

\\.reg　= rnjfile

上面列出的任何一个文件被打开都将使该蠕虫副本启动。

该蠕虫将自身发送到新闻组 alt.comp.virus ，消息内容如下：

From: "Romeo&Juliet"

Subject:【Romeo&Juliet】 R.i.P.

蠕虫病毒执行时，将读取用户邮件地址簿中的地址，并向这些地址发送邮件，邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题：

Romeo&Juliet

where is my juliet ?

where is my romeo ?

hi

last wish ???

lol :)

,,...'

!!!

newborn

merry christmas!

surprise !

Caution: NEW VIRUS !

scandal !

^_^

Re:

• 赖长端烈士
• 赖门福烈士
• 赖阿特阿岛
• 赖际发
• 赖隆淋烈士
• 赖隆田烈士
• 赖隆锦烈士
• 赖雅妍
• 赖雪光烈士
• 赖静
• 赖顺利烈士
• 赖顺端烈士
• 赖风翔烈士
• 赖香占烈士
• 赖香椿烈士
• 赖骨顽皮
• 赖高培烈士
• 赖鹏烈士
• 赖鼎富烈士
• 赖龙凤烈士
• 赖龙明烈士
• 赖龙福生烈士
• 赘
• 赘人
• 赘叟