MYJULIET.CHM
MYROMEO.EXE

Cuando el mensaje infectado es abierto, el código HTML es ejecutado. Este contiene un script que es automáticamente activado por Windows.

Utiliza la vulnerabilidad del IE 5.0 y 5.01 y del Outlook 5.0 y 5.01 conocida como "Microsoft IFrame vulnerability", la que permite la ejecución de código malicioso al simplemente abrir un mensaje de correo (Windows 95, 98 y NT). El problema reside en la creación de archivos en el directorio TEMP de Windows, con un nombre conocido y con contenido arbitrario, lo que posibilita la descarga de un archivo .CHM en dicho directorio, el que luego podrá ser ejecutado. Esta vulnerabilidad fue corregida en el Internet Explorer 5.5 y Outlook 5.5.

La vulnerabilidad aprovecha el hecho de que cuando un mensaje es abierto, por defecto el mismo se graba en el directorio C:\WINDOWS\TEMP. Desde allí puede ser accedido y ejecutado, ya que se conoce su posición y nombre.

En el caso del Verona, cuando el mensaje es visualizado, el código HTML del mismo carga y ejecuta el componente CHM del mensaje (el archivo MYJULIET.CHM), usando el visor de la ayuda de Windows, al que corresponde esta extensión (los archivos CHM son HTMLs compilados). MYJULIET.CHM contiene otro script, que ejecuta al archivo MYROMEO.EXE, el verdadero cuerpo del virus.

En concreto, el gusano se activa automáticamente, cuando el mensaje es abierto, o simplemente visualizado en el panel de vista previa.

Para activarse, utiliza otra vulnerabilidad en la seguridad del Windows Scripting, el componente HTML del gusano es capaz de ejecutar el componente EXE, sin que ningún mensaje de advertencia sea mostrado al usuario, bajo la configuración estándar de Windows (también corregido en la versión 5.5 del Internet Explorer y Outlook Express).

El componente principal del virus (MYROMEO.EXE), es un ejecutable de Win32 (PE), de unos 30 Kb, comprimido con la herramienta UPX. Cuando se descomprime, ocupa unos 70 Kb. El virus está escrito en Delphi, y su código "puro" ocupa apenas unos 6 Kb.

Cuando se ejecuta MYROMEO.EXE, el virus abre la libreta de direcciones de Windows (*.WAB), y a los contactos allí guardados, les envía el mismo mensaje en formato HTML, con los archivos CHM y EXE adjuntos. Utiliza una lista de seis servidores SMTP incluida en su código para realizar los envíos. Todos los SMTP son de Polonia.

El asunto del mensaje es seleccionado al azar de esta lista:

Romeo&Juliet
:))))))
hello world
!!??!?!?
subject
ble bla, bee
I Love You ;)
sorry...
Hey you !
Matrix has you...
my picture
from shake-beer

En una máquina infectada, el gusano se muestra en el escritorio, como una reducida ventana en el ángulo superior izquierdo, de la que solo se visualiza la "X" de cerrar, y también en la barra de tareas de Windows, con el texto del asunto del mensaje recibido, por ejemplo "Romeo&Juliet" (nombre de la ventana mencionada si la ampliamos).

Finalmente, el gusano modifica el archivo C:\Windows\HH.DAT, usado por el ejecutable de las ayudas en HTML de Windows.

El gusano contiene un error que hace que no funcione correctamente en algunas instalaciones de Windows, como la versión en inglés. No hay reportes de que no lo haga en la versión en español.

Además, solo puede ejecutarse si Windows está instalado en su directorio por defecto: C:\WINDOWS.

Se aconseja actualizarse a la versión 5.5 del Internet Explorer y Outlook Express, que corrigen las vulnerabilidades utilizadas por este virus. Las versiones de Windows 98 y Windows 98 Segunda Edición, instalan por defecto las versiones 4.x (Win 98) y 5.x (Win 98 SE).

Ver también: W32/Verona.B. Variante del Verona, BleBla, Romeo&Juliet

Fuentes: AVP, Sophos, Norman.