// вы читаете...

Новости

ICQ worm



Меня сразу заинтересовала проверка на 0. Что ж, можно узнать куда она ведёт и что будет если мы туда пойдём. :) Функция возвращает 0 и прыжок не срабатывает. Ок, сбрасываем в дебаггере ZF и… аська включается! Так… Значит всё самое интересное в выше лежащей функции. Не буду здесь приводить довольно длинные листинги этого COM объекта, сразу скажу в чём всё дело. Создатели ICQ очень любят MS и не очень любят проверять, что инициализировано, а что нет. Поэтому этот компонент сразу пытается обращаться к Afx библиотеке и особенно к AfxGetModuleState. Боюсь, Benny придётся если и думать о черве, то только о бинарном. Что в общем-то даже хорошо. :) Перед использованием этого COM’a надо инициализировать все необходимые ему данные или патчить имеющиеся ICQAutomation.dll :). Правда патчи не всегда помогают – есть ряд функций работы со стоками основанных на инициализированном Afx. Ну и напоследок можно рассказать о методе ICQIsRunning. :) Это довольно забавная вещь – этому методу тоже требуется Afx, но код его сводиться к проверке мютекса “Mirabilis ICQ Mutex”. Достаточно его создать и COM будет думать что аська работает… Да и сама аська при нахождении этого объекта скажет, что одна копия же работает. ;)

Страницы: 1 2 3

Обсуждене

Отзывов нет на «ICQ worm»

Ваш отзыв

Рубрики