蠕蟲病毒Win32.Stration.XA

蠕蟲病毒Win32.Stration.XA

Win32/Stration.XA是一族傳送大量郵件的蠕蟲,它會下載並運行其它程式。這個變體是大小為131,072位元組的Win32可運行程式。

基本介紹

  • 中文名:蠕蟲病毒Win32.Stration.XA
  • 流行程度:高
  •  危害性:中等危害
  • 病毒屬性:蠕蟲病毒
其它名稱,具體介紹,

其它名稱

W32.Stration.CX@mm (Symantec), Win32/Stration.Variant!Worm (InoculateIT), Win32.Stration.XA (EZ Antivirus), W32.Stration@mm (Symantec), Email-Worm.Win32.Warezov.df (Kaspersky), Email-Worm.Win32.Warezov.et (Kaspersky)

具體介紹

運行時,Stration.XA生成一個DLL到%System%\loghatkc.dll,並通過以下註冊表安裝它:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\DllName = "%System%\loghatkc.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\Shutdown = "WlxShutdownEvent"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\Startup = "WlxStartupEvent"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\Asynchronous = 0x0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loghatkc\Impersonate = 0x0
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
病毒還生成%System%\loghatkc.exe,依次生成以下檔案:
%System%\docpfram.dll
%System%\gpkrmssi.dll
%System%\p2psifmo.exe
蠕蟲通過添加以下註冊表安裝"docpfram.dll":
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = " docpfram.dll"
以上引用的任意DLL檔案都是通過每個程式運行時自動載入的。
Stration.XA嘗試連線traferreg.com域,並通過HTTP下載幾個檔案。從這個域下載的檔案是Stration病毒的其它變體。
清除:
KILL安全胄甲InoculateIT 23.73.79,Vet 30.3.3236版本可檢測/清除此病毒。

相關詞條

熱門詞條

聯絡我們