I-Worm.Mari — новый интернет-червь

I-Worm.Mari — интернет-червь, распространяющийся во вложениях в электронные письма в виде EXE-файла. Для своего распространения использует MS Outlook. Является 12-килобайтной Win32-программой. Написан на Visual Basic.

Червь подключается к почтовой системе MS Outlook, считывает из адресной книги Outlook почтовые адреса и рассылает по ним сообщения:

Тема: Hi!
Тело: check this out!!!
Вложение: system32.exe

Червь инсталлирует себя в систему. Он сохраняет свои копии в каталогах Windows и WinNT с именем «SYSTEM32.EXE». Червь создает свои копии на текущем жестком диске, если это оказывается не диск C:, то его ожидает глубокое разочарование: червь не сможет запустить свою процедуру распространения. Червь также не сможет инфицировать систему, если Windows инсталлирована в директории с другим именем.

Червь регистрирует себя в секции авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SYSTEM32 = C:WindowsSYSTEM32.exe
или
SYSTEM32 = C:WinntSYSTEM32.exe

‘А’-версия червя (в случае Win9x/ME) также модифицирует файл WIN.INI, добавляя в него ключ автозапуска, который указывает на червя:

[windows]
load=»C:WINDOWSSYSTEM32.exe
open=»C:WINDOWSSYSTEM32.exe»

[winnt] load=»C:WinntSYSTEM32.exe
open=»C:WINDOWSSYSTEM32.exe»

Червь остается в памяти Windows как скрытый процесс и создает в системном трее иконку «marijuana»:

При клике на эту иконку червь выводит сообщение:

IMPORTANT: PLEASE READ

I think i speak for every pot smoker in North America when i say: *Legalize
Marijuana*…I mean if people with AIDS, Cancer and other deaises can use it
then why cant the rest of us (pot smokers) use it?, I dont think that’s very
fair (Do you?). If it’s legal to grow and use in places like: Australia (for
personal use) then why not in North America? If doctors are useing it as a
treatment for illness then it must not be *THAT* harmful (So why can’t other
people use it?). I really do think the federal goverment should consider
legalization of marijuana. Well that’s really all i have to say on the
matter, but i do hope somebody, somewhere listens to what i have to say and
does not just regard this as just another *virus* because it’s more then
that, it’s a message, a message for freedom, the freedom to smoke up and have
the chose to do so *WITHOUT* fear of punishment from the law and the
goverment. Thank you for your time.

В 4:20 и 16:20 червь показывает message box:

Червь также модифицирует следующие ключи системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersion
RegisteredOrganization = Stoner’s Pot Palace.
RegisteredOwner = Im A Pot Head!

HKCUSoftwareMicrosoftInternet ExplorerMain
HKCUSoftwareMicrosoftInternet ExplorerMain
Start Page = http://my.marijuana.com
Window Title = Marijuana Explorer (LEGALIZE IT!!!)