Der Virus Y2KCount (Trojaner) tauchte erstmals am 15. September 1999 auf. Er verbirgt sich hinter der Datei Y2KCount.EXE, die als E-Mail-Attachment (angehängte Datei) einer angeblichen Nachricht vom Microsoft-Support verschickt wird. Die Nachricht sieht folgendermaßen aus:

"From: support@microsoft.com
Sender: support@microsoft.com
Subject: Microsoft Announcement
Date: Wed, 15 Sep 1999 00:49:57 +0200

To All Microsoft Users,

We are excited to announce Microsoft Year
2000 Counter.
Start the countdown NOW.
Let us all get in the 21 Century.
Let us lead the way to the future and we
will get YOU there FASTER and SAFER.

Thank you,

Microsoft Corporation"

Die E-MAIL ist eindeutig gefälscht, aber einige E-MAIL-Empfänger sind auf diesen Trick hereingefallen und haben den E-MAIL-Anhang geöffnet und wurden so infiziert. Die Datei Y2KCount.EXE ist ein selbstentpackendes ZIP-Archiv, das das Installations-Paket des neuen Internet-Trojans enthält. Das Archiv besteht aus 5 Dateien (PROJECT1.EXE und 4 DAT Dateien), wobei die Datei PROJECT1.EXE als Installations-Datei für den Trojaner dient.
Wenn man Y2KCount.EXE startet, erscheint eine frisierte Fehler-Meldung:

[

Dieses ist eine Täuschung. Gleichzeitig installiert sich der Trojaner selbst auf dem System.
Er kopiert 4 Dateien in das Verzeichnis \Windows\System\: PROCLIB.EXE, PROCLIB.DLL, PROCLIB16.DLL, NTSVSRV.DLL. Dann wird die Windows-Systemdatei SYSTEM.INI so modifiziert, dass der Trojaner beim nächsten Windows-Start automatisch aktiviert wird. Der Trojaner hängt in dieser Datei nach der Liste der zu startenden Treiber ('drivers=' Eintrag) die Zeichenkette 'ntsvsrv.dll' an. Während des nächsten Windows-Starts erhält NTSVSRV.DLL die Kontrolle und nennt WSOCK32.DLL in NLHVLD.DLL um und kopiert PROCLIB16.DLL nach WSOCK32.DLL. Damit hat der Trojaner die Möglichkeit, Internet-Aktivitäten auf dem verseuchten System zu kontrollieren.
Einmal aktiv, überprüft der Trojaner den Internet-Verkehr auf Stichworte wie 'login', 'password' und 'username'. Das geschieht, um Netzwerk- und Einwahl-Passwörter auszuspionieren. Diese Vorgehensweise ist typisch für Trojaner, die Passwörter ausspähen. Dieser Trojaner könnte aber auch als 'backdoor' (Hintertür, um an das System zu gelangen) fungieren. Der Trojaner arbeitet nur auf Windows 95 und 98 Systemen.
Die Analyse des Trojaners Y2KCount ist im vollen Gange. Sobald sie abgeschlossen ist, wird die Beschreibung mit weitern Details ergänzt und die Anti-Viren-Datenbank wird aktualisiert.

Falls Ihr System schon verseucht ist, können Sie versuchen den Trojaner manuell zu beseitigen. Gehen Sie dazu von DOS aus folgendermaßen vor:
Löschen Sie aus dem Vezeichnis \Windows\System die Dateien PROCLIB.EXE PROCLIB.DLL PROCLIB16.DLL NTSVSRV.DLL.
Entfernen Sie aus der Datei SYSTEM.INI den Eintrag 'ntsvsrv.dll' (das Start-Kommando des Trojaners). Sie können dazu den DOS-Editor EDIT benutzen. Dieser Eintrag müsste der Letzte sein in der Liste der 'drivers='-Einträge, falls nach der Infizierung keine weiteren Treiber installiert wurden.
Zum Schluß muß noch die Datei NLHVLD.DLL in WSOCK32.DLL umbenannt werden. Dieses stellt die Windows Sockets Bibliothek wieder her, die vom Trojaner umbenannt wurde.
Danach sollte das System neu gestartet werden, damit die Änderungen greifen.

[Analyse: Alexey Podrezov, Data Fellows; Übersetzung F-PROT in Deutschland]