Autorun.KD es un gusano residente en memoria, reportado el 25 de Noviembre del 2008, que se propaga en correos MultiSPAM con un archivo anexado de nombre abrechnung.zip.

Infecta la raíz de unidades de disco físicas, lógicas y removibles. Crea un Autorun.inf para activarse cada vez que se accede a una unidad.

Deshabilita servicios y funciones del Explorador de Windows para desestabilizar el sistema. Descarga malwares.

Infecta Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 49,736 Bytes.

Una vez ingresado al sistema crea la carpeta:

%ProgramFiles%\Microsoft Common

El archivo abrechnung.zip. contiene 2 archivos:

* abrechnung.lnk (un atajo a Windows)
* scann.a (copia del gusano)

libera a la carpeta %ProgramFiles%\Microsoft Common un falso archivo svchost.exe y borra el scann.a

para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
"Debugger" = "C:\Program Files\Microsoft Common\svchost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
"Debugger" = "%Windir%\explorer.exe"

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo, el gusano se conecta a http://www.microsoft.com para confirmar el acceso a Internet y luego se conecta a dos sitios ubicados en China desde los cuales descarga malwares:

http://univnext.cn/[Censurado].php?
http://cjusbciw123.com/[Censurado].php?

deshabilita servicios y funciones del Explorador de Windows, logrando su inestabilidad.

Para ejecutarse cada vez que se acceda a discos fijos, unidades lógicas o removibles crea un AutoRun.inf:

[autorun]
open=system.exe
shellexecute=system.exe
shell\Open\command=system.exe
shell=Explore