Email-Worm.Win32.Blebla
Gdy zainfekowana wiadomo艣膰 zostanie otwarta, uruchamiany jest modu艂 HTML. Zawiera on skrypt automatycznie aktywowany przez system Windows. Skrypt 艂aduje i uruchamia komponent CHM wiadomo艣ci (plik MYJULIET.CHM). Jest to skompresowana strona HTML, zawieraj膮ca kolejny skrypt b臋d膮cy w艂a艣ciwym cia艂em robaka.
Robak aktywowany jest automatycznie gdy zainfekowana wiadomo艣膰 jest otwierana lub przegl膮dana. W tym celu robak wykorzystuje dziur臋 w zabezpieczeniach skryptowych systemu Windows.
G艂贸wny komponent robaka (plik MYROMEO.EXE) to wykonywalny plik systemu Windows (PE EXE) o rozmiarze oko艂o 30 KB. Plik jest skompresowany przy u偶yciu narz臋dzia UPX. Po rozpakowaniu plik zajmuje 70 KB, z czego czysty kod robaka to tylko 6 KB.
Po uruchomieniu, MYROMEO.EXE otwiera ksi膮偶k臋 adresow膮 systemu Windows, pobiera z niej adresy i wysy艂a pod nie zainfekowane wiadomo艣ci. Temat wiadomo艣ci jest losowo wybierany z poni偶szej listy:
Romeo&Juliet :)))))) hello world !!??!?!? subject ble bla, bee I Love You ;) sorry... Hey you ! Matrix has you... my picture from shake-beer
Robak posiada b艂膮d i nie dzia艂a poprawnie w niekt贸rych systemach. Np. w angielskiej wersji systemu Windows, wirus nie rozprzestrzenia si臋.