启 动：随系统启动，驻留后台运行

外在表现：windows目录下存在internat.exe和sqwin.ini文件，system目录下internat.exe长度为196K，同时出现smaxinte.exe文件，长度大约37K。

对 策：删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正在运行，所以无法直接删除，可用下列方式进行删除：

1、用内存管理程序移掉内存中的INTERNAT，然后删除system中的INTERNAT.EXE，将smaxinte.exe改名为internat.exe

2、将INTERNAT.EXE的系统属性改为普通，退到纯DOS下，再删除system中的INTERNAT.EXE，将 smaxinte.exe改名为internat.exe了解注册表的再删除

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
3个相关键

综 述：隐蔽性极强，伪装做的很不错，基本没有明显漏洞，属专业级盗窃程序

qqspy4.01 OICQ 密码监听记录工具4.01

监听原理：将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中，在注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

键内添加开机运行项： Oicqpass "QQSpy40.exe"从而实现开机后后台运行。

接受邮箱放在注册表[HKEY_CURRENT_USER\Software\Oicq40] "Email"中

启 动：开机自动驻留后台运行

外在表现：windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll

对 策：删除注册表中的

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run OICQPASS
"QQSPY40.EXE" HKEY_CURRENT_USER\Software\Oicq40

重新启动，然后删除system目录中的QQSPY40.EXE和oicqhook.dll