監聽原理:作者真是費盡心機,其先將主文件qeyes分身改頭換面潛伏在系統目錄system中,其3個分身份別為:
C:\WINDOWS\SYSTEM\sysreg.exe
C:\WINDOWS\SYSTEM\regservice32.exe
C:\WINDOWS\SYSTEM\rasint.dll
然後在註冊表中添加了雙保險的開機運行程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regservice "C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
sysreg "C:\windows\system\sysreg.exe"
最可怕的是當系統正常運行後又會自動在system中增加第四個分身netw3c.exe ,同時在註冊表同步添加了一個開機運行項。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
netw3c "C:\windows\system\netw3c.exe"
如果清除時漏掉一個,那麼程序又會自動複製全部分身,並重新添加註冊表,使你前功盡棄。
啟 動:開機自動駐留後台運行
外在表現:system目錄中增加了4個文件:
C:\WINDOWS\SYSTEM\sysreg.exe
C:\WINDOWS\SYSTEM\regservice32.exe
C:\windows\system\netw3c.exe
C:\WINDOWS\SYSTEM\rasint.dll
其中前三個的圖標都是一隻眼睛,大小都為370K
對 策:重新啟動退回純dos,刪除windows中system目錄中的sysreg.exe,regservice32.exe,netw3c.exe,rasint.dll四個文件。然後刪除註冊表中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regservice "C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
sysreg "C:\windows\system\sysreg.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c
"C:\windows\system\netw3c.exe"項
上面步驟千萬不可顛倒!!因為軟件的自我保護性很強,先刪註冊表無法徹底根除監聽程序,在你啟動的同時系
統就會自動恢復剛刪除項。
綜 述:儘管作者最終還是跟蹤破譯了其盜竊原理,但還是為其兔子的手法,狐狸般的特性而歎為觀止。這是一
款典型的專家級盜竊程序。