監聽原理:將主文件QQSPY40.EXE和庫文件oicqhook.dll放入系統目錄system中,在註冊表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵內添加開機運行項:
Oicqpass "QQSpy40.exe"從而實現開機後後台運行。
接受郵箱放在註冊表[HKEY_CURRENT_USER\Software\Oicq40] "Email"中
啟 動:開機自動駐留後台運行
外在表現:windows目錄的system目錄下出現QQSPY40.EXE和oicqhook.dll
對 策:刪除註冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
OICQPASS "QQSPY40.EXE"
HKEY_CURRENT_USER\Software\Oicq40
重新啟動,然後刪除system目錄中的QQSPY40.EXE和oicqhook.dll
綜 述:雖也採用了後台運行,但本身隱蔽性差,對系統和註冊表稍微瞭解的就能輕易發現,屬學習級盜竊程序