共享蠕虫的原理及用VB编程的实现方法

作者:香水百合   
    
     
     VB是一个非常"美好"的编程语言，至少我是这么认为的。原因有二：其一是，VB的英文名可以解释为Very Beautiful,这是VB的"美";其二是，"好"字的五笔输入码是什么？"VB"是也，这就是我所谓的vb的"好"。嘻嘻，这样的解释够Cool吧！
     但事物都是有两面性的,这么美的语言在有些人手里却成了搞"破坏"的工具,被用来编写病毒.最近网络上的各种病毒层出不穷，其中有相当一部分就是VB的杰作.比较有代表性的是共享蠕虫病毒.今天我们就来让它现出原形!
     所谓的共享蠕虫的病毒(network.vbs)，它体积不但小巧(只有1K)， 而且很具有破坏性！只要被这个病毒感染了的机器，所有的硬盘就会被完全共享，并且可以在局域网和因特网中传播。下面我们先谈谈它的原理。
     我们知道，把一个目录设置为共享的时候，如果在共享名后面加上$ 符号，那么这个目录将变成一个隐含的共享目录，即对方的机器上看不见这个共享目录。但是如果对方知道共享目录名，仍然是可以访问的，只要在这个目录后面加上$ 符号就可以了。
     虽然对方看不见这个共享目录，但是自己是可以看见的。这样也是不行的，虽然我们已经加上$ 符号，但是我们仍然可以发现这个共享目录的图标下面已经加上了一个小手，表示这个目录已经被设置为共享。这样使用者就会知道机器被人改动过了。而共享蠕虫的高明之处就在于：不光是对方看不见这个共享目录，而且连自己也是看不见这个共享目录的，这样就可以做到神不知，鬼不觉了。当你把这个程序发过对方，对方执行完以后，对方的机器就会被全部被共享，而对方却不知道。
     做到对方看不见很容易，只要在共享目录名后面加上$ 符就可以了;而共享蠕虫程序是怎么做到连自己也看不出来的呢？其实道理说出来也是很简单的，秘密就在注册表中。请看下面的例子：
     1.运行Regedit命令，打开注册表;
     2.找到下面的子键
     HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManC$
     3.在屏幕的右边，你可以看见下面的内容;
     Flags 0x00000302(770)
     Parm1enc (长度为零的二进制值)
     Parm2enc (长度为零的二进制值)
     Path "C:"
     Remark "Remark By Scent Lily"
     Type 0x00000000(0)
     关键的地方就是Flag这个参数，它的键值决定了共享目录的类型。我们把Flags的值设为302(16进制)就可以了。
     知道原理以后，用VB编制共享蠕虫的方法就很简单了，大致的步骤如下：
     1.用GetDriveType函数检测机器从C盘开始的所有驱动器。软驱我想就不必共享了，没有什么实际意义的！
     2.将找到的每一个驱动器后面加上$ 符作为一个子键(C$,D$,E$)，写入注册表的LanMan子键下;
     3.将每一个子键的"Flags"值设置为302(16进制);
     4.将"Path"设置成相应的路径;如果愿意，你可以对"