综 述：虽也采用了后台运行，但本身隐蔽性差，对系统和注册表稍微了解的就能轻易发现，属学习级盗窃程序

qeyes 潜伏猎手

监听原理：作者真是费尽心机，其先将主文件qeyes分身改头换面潜伏在系统目录system中，其3个分身分别为：

C:\WINDOWS\SYSTEM\sysreg.exe
C:\WINDOWS\SYSTEM\regservice32.exe
C:\WINDOWS\SYSTEM\rasint.dll

然后在注册表中添加了双保险的开机运行程序

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice
"C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices sysreg
"C:\windows\system\sysreg.exe"

最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ，同时在注册表同步添加了一个开机运行项。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run netw3c
"C:\windows\system\netw3c.exe"

如果清除时漏掉一个，那么程序又会自动复制全部分身，并重新添加注册表，使你前功尽弃。

启 动：开机自动驻留后台运行

外在表现：system目录中增加了4个文件：

C:\WINDOWS\SYSTEM\sysreg.exe
C:\WINDOWS\SYSTEM\regservice32.exe
C:\windows\system\netw3c.exe
C:\WINDOWS\SYSTEM\rasint.dll

其中前三个的图标都是一只眼睛，大小都为370K