W32.Blebla.Worm aka Romeo and Juliet verstuurt een e-mail geschreven in het HTML-formaat. W32.Blebla komt binnen als een HTML e-mail en wordt direct geactiveerd zodra het in de preview modus wordt gelezen in Microsoft Outlook. Om door het nieuwe virus getroffen te worden, hoeft een ontvanger geen attachment te openen. HTML e-mailtjes kunnen kwaadaardige scripts uitvoeren. W32.Blebla stuurt twee bestanden mee. Een daarvan is een EXE-bestand (MyRomeo.exe), het andere is het hulpbestand MyJuliet.chm.

W32.Blebla.Worm dook vorige week op in Polen en heeft zich daarna naar de rest van Europa verspreid. In de onderwerpregel van het e-mailtje kunnen verschillende boodschappen staan, zoals:

Romeo&Juliet

:))))))

!!? ? !? !?

Subject

ble bla ble

I love you

Sorry...

Hey you !

Matrix has you...

my picture

from shake-beer

Nadat het e-mailtje is gelezen of er op is geklikt, is het systeem direct geïnfecteerd en een bestand genaamd MyRomeo.exe zoekt direct naar alle adressen, die gevonden kunnen worden in het adresboek van Outlook. De worm probeert daarop direct nieuwe e-mails te verzenden met kopieën van zichzelf. Daarmee is het verhaal nog niet afgelopen. De worm probeert daarna contact te zoeken met onderstaande adressen:

213.25.111.2 memo.gate.pl

194.153.216.60 mail.getin.pl

195.117.152.91 dns.inter-grafix.com.pl

212.244.199.2 gate.paranormix.net.pl

195.116.62.86 madmax.quadsoft.com

195.117.99.98 promail.pl

Vanaf één van deze adressen probeert deze worm nieuwe upgrades te halen. Alhoewel het virus nu nog weinig schade aanricht, kan het met nieuwe updates behoorlijk van karakter veranderen.

W32.Blebla.Worm maakt gebruik van een door bugjager Georgi Guninski ontdekte kwetsbaarheid in Outlook, het e-mailprogramma van Microsoft. Het virus neemt e-mailvirussen naar een alarmerende nieuwe dimensie. Hiermee bedoelen we vooral het gemak waarmee het virus verspreid kan worden.