病毒名称(中文):AUTO分身下载器70144病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:70144影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这个病毒是一个下载器，由于使用了AUTO技术，它的传播能力较高。该毒进入系统后，立刻在系统盘%WINDOWS%\System32\目录下释放出病毒文件Extensionsk.exe，并将该文件复制到所有的磁盘分区根目录下，同时生成的还有指向该文件的autorun.inf文件。只要有了这两个文件，该病毒也就具备了AUTO传播的能力。如果用户在中毒电脑上使用U盘等移动存储设备，病毒就能自动复制到该设备中。

　　接下来，病毒会修改系统注册表，将Extensionsk.exe设置为启动项，实现开机自动运行。只要实现这一步，病毒会马上把系统时间改为2005-10-31，让依赖系统时间进行激活和升级的安全软件瘫痪，并添加映像劫持项目，劫持目前较为常见品牌的杀毒软件，让它们失效。如果用户试图启动这些杀毒软件，只会不断激活病毒。

　　然后，病毒试图连接病毒作者指定的远程服务器http://www.h***ui.org/UpFile/UpFace，下载其它病毒文件到用户电脑中运行。不过毒霸反病毒工程师检查后发现，该地址已经失效。

　　在进行以上动作的同时，病毒会删除自己的原始文件，防止被用户找到。并建立两个svchost.exe进程，将自身的病毒代码写入其中运行。这两个svchost.exe会互相监视对方，互为防守，这样一来，用户就算删除掉其中一个，另一个也能瞬间进行恢复。

“AUTO分身下载器70144”（Worm.Delf.az.70144），这是一个利用AUTO技术进行传播的木马下载器。它会劫持杀毒程序，在各磁盘分区的根目录下生成 AUTO文件autorun.inf 与extensionsk.exe，然后下载其它病毒到用户电脑中运行。该病毒还具有一定的自我保护能力。

1.程序运行后，生成文件
%System32%\Extensionsk.exe
在各盘根目录下生成 autorun.inf 与Extensionsk.exe文件

2.在注册表中添加了注册项，如下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Extensionsk
项名：ImagePath
对应路径：%System32%\Extensionsk.exe

　3.调用Cmd，把系统时间改为2005-10-31，添加映像劫持项目劫持一些杀毒软件到%System32%\Extensionsk.exe

4.启动IE下载http://www.h***ui.org/UpFile/UpFace/bak.exe但连接已失效

5.病毒运行后释放~DsiuA!.bat 删除自身，当完成上述这些动作后，病毒会启动两个svchost.exe，并将自身的病毒代码写入这两

个svchost.exe进程之中，这两个svchost.exe会互相监视对方，且此时的病毒也无法删除