VIRUS W32/Count2K (troyano):

Nombre de virus : Count2K

Alias conocidos : Y2KCount

Peligrosidad : Baja ( Baja, Alta, Muy Alta)

Activación : envía e-mail al hacker con datos usuario

Propagación : ejecución fichero Y2KCOUNT.EXE

Detección : VIRUSCAN Desde 4045 o EXTRA.DAT

Infección actual : Inicial (Inicial, Media, Elevada)

NUEVO VIRUS CALIFICADO COMO DE PROPAGACION MEDIA

Count2K (Troyano)

Se recibe por e-mail de Internet con presunto remitente Microsoft anexando fichero Y2KCOUNT.EXE de 124.885 bytes, que pretende ser la solución de Microsoft para los problemas con el "efecto 2000".

El fichero anexado es un autoextraible que al ejecutarlo ofrece un mensaje de Error indicando :

Password protection error or invalid CRC32!

pero desempaqueta 5 ficheros , 1 .exe y 4 .dat, ejecutando automaticamente el fichero EXE (Project1.exe) que copia los ficheros DAT al directorio windows\system con los siguientes nombres:

proclib.exe, proclib.dll, proclib16.dll, ntsvsrv.dll, nlhvld.dll

Luego, dentro de la sección [boot] del system ini , añade drivers = ntsvsrv.dll, y renombra el wsock32.dll a nlhvld.dll, sobreescribiendo el infectado si el wsock32.dll existe, A continuación, el Proclib16.dll lo renombra a wsock32.dll, de forma que cuando se entra en Internet se ejecuta el Proclib16.dll.

El propósito de teste troyano parece ser el envío de los datos del nombre y password del usuario al autor del troyano.

Para eliminar el virus debe borrarse del Win.ini la carga de ntsvsrv.exe en la línea de drivers= , y rearrancar en solo símbolo del sistema y copiar, en windows\system, el fichero nlhvld.dll sobre el wsock32.dll,

y finalmente borrar los ficheros proclib.exe, proclib.dll, proclib16.dll, ntsvsrv.dll, y nlhvld.dll, todos ellos del windows\system.

Disponemos de fichero EXTRA.DAT para control de este virus.

SATINFO, VIRUSCAN SPAIN SERVICE
Anterior