病毒名称：blebla.b
别名：troj_blebla.b，verona，verona.b，w32/blebla.b@mm

病毒特点：

该病毒为一网络蠕虫，通过电子邮件进行传播。邮件包含一个超文本格式的文档和两个附件，附件的名称分别为xromeo.exe和xjuliet.chm。当带毒信件打开时，它的html部分被执行，这部分包含一个能自动运行的脚本，由它来启动一个名为xjuliet.chm的文件。最后由chm运行真正的病毒实体xromeo.exe。并将以上两个文件作为附件，向被感染用户邮件地址簿的地址发送邮件。

病毒运行的时候，它将自身复制到c:\windows\sysrnj.exe，并在注册表中创建以下内容：
hkey_classes_root\rnjfile
\defaulticon=%1
\shell\open\command=sysrnj.exe"%1"%*
　　当"rnjfile"被指定，上面提到的键值将运行这个蠕虫副本，接着修改下列键值：

hkey_classes_root
\.exe=rnjfile
\.jpg=rnjfile
\.jpeg=rnjfile
\.jpe=rnjfile
\.bmp=rnjfile
\.gif=rnjfile
\.avi=rnjfile
\.mpg=rnjfile
\.mpeg=rnjfile
\.wmf=rnjfile
\.wma=rnjfile
\.wmv=rnjfile
\.mp3=rnjfile
\.mp2=rnjfile
\.vqf=rnjfile
\.doc=rnjfile
\.xls=rnjfile
\.zip=rnjfile
\.rar=rnjfile
\.lha=rnjfile
\.arj=rnjfile
\.reg=rnjfile

上面列出的任何一个文件被打开都将使该蠕虫副本启动。

该蠕虫将自身发送到新闻组alt.comp.virus，消息内容如下：
　　from:"romeo&juliet"
　　subject:[romeo&juliet]r.i.p.

　　蠕虫病毒执行时，将读取用户邮件地址簿中的地址，并向这些地址发送邮件，邮件包含超文本格式的文档和两个附件。使用空的、随机产生的主题或是下面列出的任意一个主题：
　　romeo&juliet
　　whereismyjuliet?
　　whereismyromeo?
　　hi
　　lastwish???
　　lol:)
　　,,...'
　　!!!
　　newborn
　　merrychristmas!
　　surprise!
　　caution:newvirus!
　　scandal!
　　^_^
　　re: