18 czerwca 2001

I-Worm.Mari - opowiada się za zalegalizowaniem marihuany

Jest to robak internetowy rozprzestrzeniający się jako plik EXE załączony do wiadomości e-mail. Wirus ma rozmiar około 12 kB i napisany został w języku programowania VisualBasic. Podczas rozprzestrzeniania się robak wykorzystuje książkę adresową programu MS Outlook. Szkodnik wyświetla w obszarze zasobnika systemowego ikonę przedstawiającą liść marihuany.

Zainfekowane wiadomości wyglądają następująco:

Temat: Hi!
Treść: check this out!!!
Nazwa załącznika: system32.exe

Robak kopiuje się do katalogów Windows, WinNT z nazwą SYSTEM32.EXE oraz do głównego katalogu bieżącego dysku. Jeśli nie jest to dysk C: lub system operacyjny zainstalowany jest w katalogu innym niż Windows robak nie może się dalej rozprzestrzeniać.

Szkodnik tworzy swój wpis w sekcji auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SYSTEM32 = C:\Windows\SYSTEM32.exe

lub

SYSTEM32 = C:\Winnt\SYSTEM32.exe

Wersja 'a' robaka dodatkowo modyfikuje plik WIN.INI dodając do niego poniższe wpisy:

[windows]
load="C:\WINDOWS\SYSTEM32.exe
open="C:\WINDOWS\SYSTEM32.exe"

[winnt]
load="C:\Winnt\SYSTEM32.exe
open="C:\WINDOWS\SYSTEM32.exe"

Robak pozostaje rezydentny w pamięci systemu Windows jako ukryty proces (serwis) i wyświetla w obszarze zasobnika systemowego ikonę przedstawiającą liść marihuany.

Po kliknięciu na tej ikonie wyświetlany jest poniższy tekst:

IMPORTANT: PLEASE READ

I think i speak for every pot smoker in North America when i say: *Legalize Marijuana*...I mean if people with AIDS, Cancer and other deaises can use it then why cant the rest of us (pot smokers) use it?, I dont think that's very fair (Do you?). If it's legal to grow and use in places like: Australia (for personal use) then why not in North America? If doctors are useing it as a treatment for illness then it must not be *THAT* harmful (So why can't other people use it?). I really do think the federal goverment should consider legalization of marijuana. Well that's really all i have to say on the matter, but i do hope somebody, somewhere listens to what i have to say and does not just regard this as just another *virus* because it's more then that, it's a message, a message for freedom, the freedom to smoke up and have the chose to do so *WITHOUT* fear of punishment from the law and the goverment. Thank you for your time.

O godzinie 4:20 oraz 16:20 robak wyświetla komunikat:

The Marijuana Virus!!
Its 4:20, Time to toke up :)

Dodatkowo szkodnik modyfikuje poniższe klucze rejestru systemowego

HKLM\Software\Microsoft\Windows\CurrentVersion
RegisteredOrganization = Stoner's Pot Palace
RegisteredOwner = Im A Pot Head!

HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http://my.marijuana.com
Window Title = Marijuana Explorer (LEGALIZE IT!!!)