Win32/Stration

Aggiornamento: Apr 17, 2011 | Pubblicato: Nov 27, 2006

Alias
Win32/Stration! Generic (CA)
W32/Strati-Gen (Sophos)
W32.Stration.DL @ mm (Symantec)
WORM_STRAT.DR (Trend Micro)

Livello di allarme
Alto

Dettagli protezione Antimalware
Microsoft consiglia di scaricare le ultime definizioni per ottenere protezione.

Informazioni tecniche (Analisi)
Win32/Stration è una famiglia di worm mass-mailing e-mail che può terminare i processi relativi a software di sicurezza, bloccare l'accesso a domini legati alla sicurezza, e tentare di scaricare un file da un sito remoto. Il messaggio di posta elettronica composta dal worm può mascherarsi come un messaggio di errore o come strumento di scansione. Win32/Stration agisce anche come un downloader Trojan, nel tentativo di scaricare un file da un sito Web remoto. Tipicamente, il file scaricato è una nuova variante del Win32/Stration worm. Win32/Stration si autoinvia agli indirizzi ottenuti da una vasta gamma di tipi di file trovati sul sistema infetto. Il messaggio di posta elettronica composto da Win32/Stration worm può mascherarsi come uno dei messaggi di errore seguenti:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

L'attachment di Win32/Stration ha in genere le seguenti estensioni reali:
. Exe
. Scr
. Zip

Al momento dell'infezione, i file dropper Win32/Stration, di solito vanno nella cartella di Windows (generalmente C: \ Windows \) o la cartella di sistema di Windows (generalmente C: \ Windows \ System32).

I nomi dei file possono variare, esempi comuni includono:
cserv32.exe
cservv32.exe
dpv1usrd.exe
e1.dll
msserv.exe

Per caricarsi all'avvio di Windows, Win32/Stration worm modifica il Registro di sistema con l'aggiunta di un valore con un percorso che punta a uno dei file rilasciati alla seguente chiave di registro:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Win32/Stration possono caricare i file DLL modificando la seguente chiave di registro:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLLs

Il Win32/Stration worm può tentare di eliminare i processi associati con alcuni antivirus e software di sicurezza installati sul sistema. Win32/Stration può anche modificare il file Hosts di Windows nel tentativo di bloccare l'accesso a determinati domini, impedendo così l'accesso agli aggiornamenti di sicurezza e informazioni che potrebbero essere utilizzati per rilevare e rimuovere il worm.

Fonte: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32%2fStration