oicqthief 1.5版

　　监听原理：将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件，1.5版监听程序为60kb 发送的目的邮箱地址放在windows下系统目录中的system目录内，文件名为 oicqcfg。还有一个firstrun.dat的文件也在其中

　　启 动：OICQ外壳，不驻留，但运行退出时OICQ有时不能完全退出，导致下次QQ可能无法启动。

　　外在表现：OICQ 目录下出现两个企鹅头像，一个为 O.EXE 一个为 oicq.exe ，oicq.exe 为60K左右。

　　对 策：删除OICQ目录中的伪主文件，将 O.EXE 更名为主文件OICQ.EXE，同时删除system中的OICQCFG 和firstrun.dat

　　综 述：手法简单，隐蔽性差，很容易判断，属入门级的盗窃程序

　　QQFrethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码侦探1.1版

　　监听原理：将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同名文件拷入 windows目录，将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSysTASK

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSysTASK

　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionSysTASK

　　发送的邮箱、密码个数等信息放在

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSysTASK

　　SoftwareServicesSecurityCommonSoftWareControlsFolderReconciliation

　　PoliciesRetrictionAdspopwareConnection Wizard ExplorerShellServiceO

　　bjectDelayLoadWindows Messaging SubsystemProtectedStorage 中

　　启 动：随系统启动，驻留后台运行

　　外在表现：windows目录下存在internat.exe和sqwin.ini文件，system目录下internat.exe长度为196K，同时出现smaxinte.exe文件，长度大约37K。

　　对 策：删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正在运行，所以无法直接删除，可用下列方式进行删除：

　　1、用内存管理程序移掉内存中的INTERNAT，然后删除system中的INTERNAT.EXE，将smaxinte.exe改名为internat.exe

　　2、将INTERNAT.EXE的系统属性改为普通，退到纯DOS下，再删除system中的INTERNAT.EXE，将 smaxinte.exe改名为internat.exe了解注册表的再删除

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSysTASK

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSysTASK

　　[iduba_page]HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionSysTASK 3个相关键

　　综 述：隐蔽性极强，伪装做的很不错，基本没有明显漏洞，属专业级盗窃程序

　　qqspy4.01 OICQ 密码监听记录工具4.01

　　监听原理：将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中，在注册表

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　键内添加开机运行项： Oicqpass "QQSpy40.exe"从而实现开机后后台运行。

　　接受邮箱放在注册表[HKEY_CURRENT_USERSoftwareOicq40] "Email"中

　　启 动：开机自动驻留后台运行

　　外在表现：windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll

　　对 策：删除注册表中的

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun OICQPASS

　　"QQSPY40.EXE" HKEY_CURRENT_USERSoftwareOicq40

　　重新启动，然后删除system目录中的QQSPY40.EXE和oicqhook.dll

　　综 述：虽也采用了后台运行，但本身隐蔽性差，对系统和注册表稍微了解的就能轻易发现，属学习级盗窃程序

　　qeyes 潜伏猎手

　　监听原理：作者真是费尽心机，其先将主文件qeyes分身改头换面潜伏在系统目录system中，其3个分身分别为： C:WINDOWSSYSTEMsysreg.exe C:WINDOWSSYSTEM

　　egservice32.exe

　　C:WINDOWSSYSTEM

　　asint.dll

　　然后在注册表中添加了双保险的开机运行程序

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun regservice

　　"C:windowssystem

　　egservice32.exe"

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

　　sysreg "C:windowssystemsysreg.exe"

　　最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ，同时在注册表同步添加了一个开机运行项。

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun netw3c

　　"C:windowssystemetw3c.exe"

　　如果清除时漏掉一个，那么程序又会自动复制全部分身，并重新添加注册表，使你前功尽弃。

　　启 动：开机自动驻留后台运行

　　外在表现：system目录中增加了4个文件： C:WINDOWSSYSTEMsysreg.exe

　　C:WINDOWSSYSTEM

　　egservice32.exe C:windowssystemetw3c.exe

　　C:WINDOWSSYSTEM

　　asint.dll

　　其中前三个的图标都是一只眼睛，大小都为370K

　　对 策：重新启动退回纯dos，删除window