ключевой фрагмент кода пакетного sniffer'а под Windows 2000/XP
Откомпилировав sniffer.c запустите его на атакуемом узле с правами администратора и отправьте с узла атакующего несколько TCP/UDP пакетов, которые пропускает firewall. Смотрите, червь исправно вылавливает их! Причем, никаких открытых портов на атакуемом компьютере не добавляется и факт перехвата не фиксируются ни мониторами, ни локальными брандмауэрами.
Для разоблачения пассивных слушателей были разработаны специальные методы (краткое описание которых можно найти, например, здесь: http://www.robertgraham.com/pubs/sniffing-faq.html), однако, практической пользы от них никакой, т. к. все они ориентированы на борьбу с длительным прослушиванием, а червю для осуществления атаки требуется не больше нескольких секунд!