蠕虫病毒Win32.Stration.XA

W假针娘划in32/Stration.XA是一族发送大量邮件的蠕虫，它会下载并运行其它程序。这个变体是大小为131,072字节的Win32可运行程序。

• 中文名 蠕虫病毒Win32.Stration.XA
• 流行程度 高
• 病毒属性 蠕虫病毒
•  危害性 中等危害

其来自它名称

　　W32.Stration.CX@mm (Symantec), Win32/S始流被仅预危席具伟奏tration.Variant!Worm (月InoculateIT), Win32.Strati360百科on.XA (EZ An促宗tivirus), W32.Stration@mm (Symantec), Email-Worm.连日尽般含创使必Win32.Warezov.df (Kaspersky信但反势独刻款体信获), Email-Worm.Win32.Warezov.e损算右钱官适t (Kaspersky)

蠕虫病毒

具体介绍

　　运行时，Stration.XA生成一个DLL到%System%\l院挥建据oghatkc.dll，并通过以下注册表安装它:

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\DllNa款套穿突二高斯控来me = "%System%\loghatkc.dl写编诉l"

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVer基玉药造香sion\Winlogon\N也氢星美板证个象素凯张otify\loghatkc著斤先早封装尽\Shutdown = "WlxShutdownEvent"

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\Startup = "列措等盐流并变响治已WlxStartupEvent"

　　HKLM\SOFTWA动队包不车他存看顶RE\Micro美一么然月践批做继soft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\Asynchronous = 0x0

　　HKLM\SOFTWARE\Microsoft\Windows NT\Curren龙部夜么tVersion\Win盟冷烟讨突艺面logon\Notify\loghatkc\Impersonate = 0x0

　　注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95，98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

　　病毒还生成%System%\loghatkc.exe，依次生成以下文件:

　　%System%\docpfram.dll

　　%System%\gpkrmssi.dll

　　%System%\p2psifmo.exe

　　蠕虫通过添加以下注册表安装"docpfram.垂准挥尔色缩同茶dll":

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = " docpfram.dll"

　　以上引用的任意DLL文件都是通过每个程序运行时自动加载的。

　　Stration.XA尝试连接traferreg.com域，并通过HTTP下载几个文件。从这个域下载的文件是Stration病毒的其它变体。

清除

　　​KILL安全胄甲InoculateIT 23.73.79，Vet 30.3.3236版本可检测/清除此病毒。