病毒别名：Backdoor.Tetick.c【AVP】 Backdoor.Tetick.c【KV】 Trojan.TheTick.2301.c【RS】

处理时间：

威胁级别：★

中文名称：监听者

病毒类型：木马

影响系统：Win9X/ME/2000/XP/NT/2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

A、将复制自己为%SystemRoot%SVCHOST.exe并运行。

B、在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

添加以下键值

"MS Rem-Service"="%SystemRoot%SVCHOST.exe"

可能在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

添加一下键值：

"MS Rem-Service"="%SystemRoot%SVCHOST.exe"

发作现象:

A、在TCP端口22200连接到预定义的网址通知木马的控制端。

B、打开TCP端口22222侦听控制端发了的命令，然后采取相应的动作，文件传输的端口是22220。

C、杀掉预定义的杀毒软件以及反木马程序：

_AVP32.EXE

_AVPCC.EXE，

_AVPM.EXE，

AVP32.EXE，

AVPCC.EXE，

AVPM.EXE，

AVP.EXE，

NAVAPW32.EXE，

NAVW32.EXE，

ICLOAD95.EXE，

ICMON.EXE，

ICSUPP95.EXE，

ICLOADNT.EXE，

ICSUPPNT.EXE，

ANTS.EXE，

Anti-Trojan.exe，

iamserv.exe，

FRW.EXE，

blackice.exe，

blackd.exe，

zonealarm.exe，

vsmon.exe，

WrCtrl.exe，

WrAdmin.exe，

cleaner3.exe，

cleaner.exe，

tca.exe，

MooLive.exe，

lockdown2000.exe，

Sphinx.exe，

VSHWIN32.EXE，

VSECOMR.EXE，

WEBSCANX.EXE，

AVCONSOL.EXE，

VSSTAT.EXE

D、盗取某些游戏的CD-KEY。

特别说明: