195.117.117.6
212.244.197.164
195.205.96.185
195.116.104.14
195.117.3.111
195.116.221.65
212.244.67.20
194.181.138.141
195.205.121.183
195.117.88.7
212.160.95.1
212.244.241.81
195.205.208.33
212.106.133.133
195.116.72.5
213.25.175.3
195.117.99.98
213.25.111.2

El mensaje recibido, puede venir con la línea "Asunto:" vacía, con texto sin sentido, formado con hasta tres grupos de letras minúsculas, o con un asunto seleccionado de estos temas:

Romeo&Juliet
where is my juliet ?
where is my romeo ?
hi
last wish ??? 
lol :) 
,,... 
!!! 
newborn 
merry christmas! 
suprise ! 
Caution: NEW VIRUS ! 
scandal !
^_^ 
Re:

El gusano también se envía al newsgroup alt.comp.virus, en un mensaje con estas características:

De: "Romeo&Juliet" [romeo@juliet.v]
Asunto: [Romeo&Juliet] R.i.P.

También se copia a si mismo en C:\WINDOWS\SYSRNJ.EXE y genera un nuevo tipo de archivos en el registro: RNJFILE:

HKEY_CLASSES_ROOT\rnjfile
DefaultIcon = %1

HKEY_CLASSES_ROOT\rnjfile\shell\open
command = sysrnj.exe "%1" %*

Luego, registra las extensiones EXE, JPG, JPEG, JPE, BMP, GIF, AVI, MPG, MPEG, WMF, WMA, WMV, MP3, MP2, VQF, DOC, XLS, ZIP, RAR, LHA, ARJ y REG, haciendo que el explorador de Windows ejecute el virus antes que el programa o archivo original con esas extensiones:

HKEY_CLASSES_ROOT
.exe = rnjfile
.jpg = rnjfile
.jpeg = rnjfile
.jpe = rnjfile
.bmp = rnjfile
.gif = rnjfile
.avi = rnjfile
.mpg = rnjfile
.mpeg = rnjfile
.wmf = rnjfile
.wma = rnjfile
.wmv = rnjfile
.mp3 = rnjfile
.mp2 = rnjfile
.vqf = rnjfile
.doc = rnjfile
.xls = rnjfile
.zip = rnjfile
.rar = rnjfile
.lha = rnjfile
.arj = rnjfile
.reg = rnjfile

Bajo ciertas condiciones, el gusano es capaz de crear en la carpeta de la papelera de reciclaje de la unidad C: (C:\RECYCLED), otros directorios y archivos con nombres al azar.

El gusano se ejecuta solo bajo Windows 9x. No funciona bajo Windows NT o 2000. El componente HTML en el mensaje, causa que el adjunto se guarde en la carpeta de temporales de Windows (C:\Windows\TEMP), y ejecute otro archivo generado por el virus: xjuliet.chm.

Este a su vez, lanza el archivo xromeo.exe, el componente de envío masivo de mensajes. Xromeo.exe también intenta finalizar el proceso HH.EXE (la ayuda de Windows), para esconder su actividad.

El virus se basa en la vulnerabilidad "Cache Bypass", reportada por Microsoft en su boletín MS00-046 (http://www.microsoft.com/technet/security/bulletin/ms00-046.asp ), el 20 de julio de 2000.

Esta vulnerabilidad que afectaba al Microsoft Outlook y Outlook Express, permite a un usuario malicioso, enviar un mensaje en formato HTML, el cuál al ser abierto, permite leer del disco de la víctima. Unido esto a otras vulnerabilidades anteriores (explicadas en nuestra descripción del virus "Verona" original en nuestro boletín "VSantivirus No. 132 - Año 4 - Viernes 17 de noviembre de 2000, Virus: W32/Verona. Capaz de infectar con solo ver un mensaje"), permite la ejecución de código malicioso al simplemente abrir un mensaje de correo (Windows 95, 98 y NT).

Esta vulnerabilidad fue corregida en el Internet Explorer 5.5 y Outlook 5.5.

Si usted tiene una versión anterior, podrá encontrar más información y los parches correspondientes en estas direcciones:

http://www.microsoft.com/technet/security/bulletin/fq00-046.asp
http://www.microsoft.com/windows/ie/download/critical/patch9.htm

O instalando el Internet Explorer 5.01 Service Pack 1, o Internet Explorer 5.5.

Esta vulnerabilidad (la que permite la acción de este virus), no es la misma reportada en nuestros boletines "VSantivirus No. 136 - Año 4 - Martes 21 de noviembre de 2000, Ejecución peligrosa de archivos CHM en el IE 5.5" y "VSantivirus No. 139 - Año 4 - Viernes 24 de noviembre de 2000, Segunda vulnerabilidad del IE 5.5 en la misma semana".

Ver también: W32/Verona ( BleBla, Romeo&Juliet)