oicqthief 1.5版

监听原理：将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件，1.5版监听程序为60kb 发送的目的邮箱地址放在windows下系统目录中的system目录内，文件名为 oicqcfg。还有一个firstrun.dat的文件也在其中

启 动：OICQ外壳，不驻留，但运行退出时OICQ有时不能完全退出，导致下次QQ可能无法启动。

外在表现：OICQ 目录下出现两个企鹅头像，一个为 O.EXE 一个为 oicq.exe ，oicq.exe 为60K左右。

对 策：删除OICQ目录中的伪主文件，将 O.EXE 更名为主文件OICQ.EXE，同时删除system中的OICQCFG 和firstrun.dat

综 述：手法简单，隐蔽性差，很容易判断，属入门级的盗窃程序

QQ密码侦探1.1版

监听原理：将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同名文件拷入 windows目录，将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK

发送的邮箱、密码个数等信息放在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
\Software\Services\Security\Common\SoftWare\ControlsFolder\
Reconciliation
\Policies\Retriction\Adspopware\Connection Wizard Explorer\
ShellServiceO
bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage 中