不要说得那么神秘好不好?
Verona.B(罗密欧与朱丽叶)蠕虫
名称:Verona.B (又名Win32.Verona.B)
类型:蠕虫
蠕虫特征:
Win32.Verona.B是一种通过电子邮件系统进行传播的蠕虫。它是一个HTML格式的信息
并带有两个附件
"xromeo.exe" 和 "xjuliet.chm"
主题信息为以下其中的一个:
"Romeo&Juliet"
"where is my juliet ?"
"where is my romeo ?"
"hi" "lost with ???"
"newborn"
"merry christmas!"
"surprise !"
"caution: NEW VIRUS !"
"scandal !"
"^_^"
"Re:"
邮件正文包含一个HTML脚本文件,但是收件人看不到。该蠕虫利用了Windows95、
Windows NT4.0或Windows98系统上的IE5所具有的所谓IFRAME弱点
(参见http://support.microsoft.com/support/kb/articles/q243/6/38.asp)来影响
系统。一旦用户用Outlook或Outlook Express预览或打开带有该病毒的电子邮件,病毒
就会自动打开"myjuliet.chm"文件,随后Outlook会将该文件存放到c:/windows/temp目
录下,这是一个编译html帮助文件。一旦激活,它就会加载并运行"myromeo.exe"文件,
这一可执行文件也存放在c:/windows/temp目录下。
电子邮件程序可能会向用户询问是否打开"myromeo.exe"和"myjuliet.chm"文件,
但是无论用户作何选择,病毒都会利用IFRAME执行自身。
而一旦运行"myromeo.exe",病毒就会建立一个新的邮件发送给Windows地址薄中的所
有邮件地址,为了发送邮件,蠕虫会尝试连接以下IP地址作为SMTP(邮件)端口:
195.117.117.6
212.244.197.164
195.205.96.185
195.116.104.14
195.117.3.111
195.116.221.65
212.244.67.20
194.181.138.141
195.205.121.183
195.117.88.7
212.160.95.1
212.244.241.81
195.205.208.33
212.106.133.133
195.116.72.5
213.25.175.3
195.117.99.98
213.25.111.2
它也将使用IP地址231.25.200.9的119端口设法连接一个新闻服务器。
蠕虫将更新注册表,以使它作为一些扩展名的外壳应用程序,这些扩展名罗列在
HKEY_CLASSES_ROOT/.*下(*表示以下扩展名中的一个):
.exe .jpg .jpeg .jpe .bmp .gif .avi .mpeg .mpg .wmf .wma .wmv .mp3 .mp2 .vqf
.doc .xls .zip .rar .lha .arj .reg
因此,一旦一个如上扩展名的文件在window浏览器中被执行,蠕虫的.exe部分将被
代替运行。此外,蠕虫将用它自己的可执行代码覆盖最初的文件。例如,如果一个用户
打开文件"my_picture.jpg",蠕虫将用它自己的代码代替这个文件的内容,并把文件更
名为"MY_PIC~1.jpg.exe".
蠕虫将任意选择上述的一个邮件主题,并带有"xromeo.exe"及"xjuliet.chm"两个
附件来发送它的HTML信息。
