其它名称:W32.Stration.CX@mm (Symantec), Win32/Stration.Variant!Worm (InoculateIT), Win32.Stration.XA (EZ Antivirus), W32.Stration@mm (Symantec), Email-Worm.Win32.Warezov.df (Kaspersky), Email-Worm.Win32.Warezov.et (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:高
具体介绍:
病毒特性:
Win32/Stration.XA是一族发送大量邮件的蠕虫,它会下载并运行其它程序。这个变体是大小为131,072字节的Win32可运行程序。
运行时,Stration.XA生成一个DLL到%System%loghatkc.dll,并通过以下注册表安装它:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyloghatkcDllName = "%System%loghatkc.dll"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyloghatkcShutdown = "WlxShutdownEvent"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyloghatkcStartup = "WlxStartupEvent"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyloghatkcAsynchronous = 0x0
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyloghatkcImpersonate = 0x0
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
病毒还生成%System%loghatkc.exe,依次生成以下文件:
%System%docpfram.dll
%System%gpkrmssi.dll
%System%p2psifmo.exe
蠕虫通过添加以下注册表安装"docpfram.dll":
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs = " docpfram.dll"
以上引用的任意DLL文件都是通过每个程序运行时自动加载的。
Stration.XA尝试连接traferreg.com 域,并通过HTTP下载几个文件。从这个域下载的文件是Stration病毒的其它变体。
清除:
KILL安全胄甲InoculateIT 23.73.79,Vet 30.3.3236版本可检测/清除此病毒。