Email-Worm.Win32.Blebla

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez Internet. Zosta艂 odkryty w Polsce 15 listpada 2000. Wirus dociera do komputera w postaci wiadomo艣ci e-mail w formacie HTML, posiadaj膮cej dwa za艂膮czniki: MYJULIET.CHM oraz MYROMEO.EXE.

Gdy zainfekowana wiadomo艣膰 zostanie otwarta, uruchamiany jest modu艂 HTML. Zawiera on skrypt automatycznie aktywowany przez system Windows. Skrypt 艂aduje i uruchamia komponent CHM wiadomo艣ci (plik MYJULIET.CHM). Jest to skompresowana strona HTML, zawieraj膮ca kolejny skrypt b臋d膮cy w艂a艣ciwym cia艂em robaka.

Robak aktywowany jest automatycznie gdy zainfekowana wiadomo艣膰 jest otwierana lub przegl膮dana. W tym celu robak wykorzystuje dziur臋 w zabezpieczeniach skryptowych systemu Windows.

G艂贸wny komponent robaka (plik MYROMEO.EXE) to wykonywalny plik systemu Windows (PE EXE) o rozmiarze oko艂o 30 KB. Plik jest skompresowany przy u偶yciu narz臋dzia UPX. Po rozpakowaniu plik zajmuje 70 KB, z czego czysty kod robaka to tylko 6 KB.

Po uruchomieniu, MYROMEO.EXE otwiera ksi膮偶k臋 adresow膮 systemu Windows, pobiera z niej adresy i wysy艂a pod nie zainfekowane wiadomo艣ci. Temat wiadomo艣ci jest losowo wybierany z poni偶szej listy:

Romeo&Juliet
:)))))) 
hello world
!!??!?!? 
subject
ble bla, bee
I Love You ;)
sorry... 
Hey you ! 
Matrix has you...
my picture
from shake-beer

Robak posiada b艂膮d i nie dzia艂a poprawnie w niekt贸rych systemach. Np. w angielskiej wersji systemu Windows, wirus nie rozprzestrzenia si臋.