其它名称：W32.Stration.CX@mm (Symantec), Win32/Stration.Variant!Worm (InoculateIT), Win32.Stration.XA (EZ Antivirus), W32.Stration@mm (Symantec), Email-Worm.Win32.Warezov.df (Kaspersky), Email-Worm.Win32.Warezov.et (Kaspersky)

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：高

具体介绍：

病毒特性：

Win32/Stration.XA是一族发送大量邮件的蠕虫，它会下载并运行其它程序。这个变体是大小为131,072字节的Win32可运行程序。

运行时，Stration.XA生成一个DLL到%System%\\loghatkc.dll，并通过以下注册表安装它：

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\loghatkc\\DllName = "%System%\\loghatkc.dll"

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\loghatkc\\Shutdown = "WlxShutdownEvent"

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\loghatkc\\Startup = "WlxStartupEvent"

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\loghatkc\\Asynchronous = 0x0

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\loghatkc\\Impersonate = 0x0

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32； 95，98 和 ME 的是C:\\Windows\\System； XP 的是C:\\Windows\\System32。

病毒还生成%System%\\loghatkc.exe，依次生成以下文件：

%System%\\docpfram.dll

%System%\\gpkrmssi.dll

%System%\\p2psifmo.exe

蠕虫通过添加以下注册表安装"docpfram.dll"：

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\AppInit_DLLs = " docpfram.dll"

以上引用的任意DLL文件都是通过每个程序运行时自动加载的。

Stration.XA尝试连接traferreg.com 域，并通过HTTP下载几个文件。从这个域下载的文件是Stration病毒的其它变体。

清除：

KILL安全胄甲InoculateIT 23.73.79，Vet 30.3.3236版本可检测/清除此病毒。