fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...
    

© Frank Ziemann  –  Update: 02.09.2009

Extra-Blatt

Y2Kcount (alias Count2K, Troj.Polyglot)

Ein Trojanisches Pferd, das Passwörter ausspioniert

Mehrere Antivirus-Firmen und Microsoft berichten über ein Trojanisches Pferd, das sich als Jahr-2000-Countdown-Programm ausgibt, tatsächlich aber Benutzernamen und Passwörter des Empfängers per E-Mail an den Autor verschickt.

Betroffene Systeme:
  • Windows 2000
  • Windows 95/98
  • Windows NT

Y2Kcount kommt mit einer E-Mail, die vorgeblich (also nicht wirklich) von <support@microsoft.com> stammt. Sie trägt den Titel (Betreff, Subject) 'Microsoft Announcement' und beginnt mit dem Satz:
'We are excited to announce Microsoft Year 2000 Counter.'

Die Mail enthält ein Attachment (Anhang) namens y2kcount.exe, das ein selbstauspackendes WinZip-Archiv ist, es enthält folgende Dateien:

  • Project1.exe
  • file002.dat
  • file003.dat
  • file004.dat
  • file001.dat
Wird y2kcount.exe ausgeführt, werden die genannten Dateien ausgepackt und Project1.exe wird automatisch ausgeführt. Es erscheint die Meldung:

Error!

Danach werden die folgenden Dateien im Windows\System-Vereichnis abgelegt:
  proclib.dll, proclib.exe, proclib16.dll, ntsvsrv.dll, nlhvld.dll
Anschliessend wird in der SYSTEM.INI im Abschnitt [boot] die Zeile, die mit 'drivers=' beginnt, um 'ntsvsrv.dll' ergänzt. Dann wird (ähnlich wie bei Happy99) die Datei winsock32.dll nach 'nlhvld.dll' umbenannt (die gerade angelegte Datei dieses Namens wird dabei überschrieben) und durch proclib16.dll ersetzt, welche nach wsock32.dll kopiert wird. Somit legt es eine Sicherheitskopie der wsock32.dll an (wie es auch Happy99 tut).
Schliesslich wird ein Registry-Eintrag manipuliert, er lautet dann wie folgt:
...\Shell\OpenHomePage\Command
@="C:\WINDOWS\SYSTEM\PROCLIB.EXE"

Damit hat sich Y2Kcount in die Internetverbindung eingeklinkt und kann nun E-Mails verschicken, ohne ein spez. E-Mail-Programm verwenden zu müssen, das evtl. nicht vorhanden ist. Ausserdem kann es die Anmelde-Prozedur beim Anwählen des Internetzugangs mitlesen und Benutzernamen und Passwort an den Autor schicken (und das tut es auch!).

Wie werde ich Y2Kcount wieder los?

Entfernen Sie aus der SYSTEM.INI den Dateinamen ntsvsrv.dll (s.o.). Booten Sie DOS und löschen Sie dann die wsock32.dll. Benennen Sie die 'Sicherheitskopie' der originalen wsock32.dll, die Y2Kcount als nlhvdl.dll abgelegt hat, wieder nach wsock32.dll um.
Löschen Sie nun die o.g. Dateien im Windows\System-Verzeichnis sowie die y2kcount.exe und die Mail, mit der sie hereinkam.

Updates für Ihre Antivirus-Software dürften inzwischen verfügbar sein.

Original-Info:

Presse:

zurück zur Hoax-Seite | zurück zur Antivirus-Seite