ウイルス情報

ウイルス名

Count2K

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4045
対応定義ファイル
(現在必要とされるバージョン)
4264 (現在7628)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Count2K.dr, Count2K.sfx, Y2KCOUNT
情報掲載日 99/09/15
発見日(米国日付) 99/09/15
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • 通常、このトロイの木馬は、発信元をマイクロソフトと偽って、電子メールに添付される形で配布されます。

  • この電子メールには、124,885バイトのファイル"Y2KCOUNT.EXE"が添付されており、メッセージは次のようになっています。

    From: support@microsoft.com

    Sender: support@microsoft.com
    Received: from Microsoft (stara65.pip.digsys.bg [193.68.4.65])
    Subject: Microsoft Announcement
    Date: Wed, 15 Sep 1999 00:49:57 +0200

    To All Microsoft Users,

    We are excited to announce Microsoft Year 2000 Counter.

    Start the countdown NOW.
    Let us all get in the 21 Century.
    Let us lead the way to the future and we will get YOU there FASTER and SAFER.

    Thank you,
    Microsoft Corporation

    <訳>
    マイクロソフトユーザの皆様

    マイクロソフトは、Microsoft Year 2000 Counterを発表いたします。

    今からカウントダウンがスタートします。
    さあ、21世紀は目の前です。
    マイクロソフトは、あなたをより速く、より安全に未来へと導きます。

    マイクロソフト株式会社

  • この添付ファイルは、自己解凍型アーカイブファイルです。このファイルを実行すると、次のような偽物のエラーメッセージボックスが表示されます。

    Password protection error or invalid CRC32!

  • 実際には、この添付ファイルは、次のファイルを含むWinzipの自己解凍型アーカイブファイルです。

    Project1.exe
    file001.dat
    file002.dat
    file003.dat
    file004.dat

  • Project1.exeファイルは、この自己解凍型アーカイブファイルが実行された後で自動的に起動するように設定されています。このファイルは、次のファイル名で、上記の4つの.datファイルをWINDOWS\SYSTEM フォルダにコピーします。

    Proclib.exe
    Proclib.dll
    Proclib16.dll
    ntsvsrv.dll
    Nlhvld.dll

  • 次に、"ntsvsrv.dll"というファイル名をSYSTEM.INIの[boot]セクションにある'drivers='ラインの最後に追加します。

  • これにより、次にシステムが起動したときに、トロイの木馬が動作するようになります。この時点で、WINDOWS\SYSTEMにあるWSOCK32.DLLは、Nlhvld.dllというファイル名に変更されます (WSOCK32.DLLが存在する場合は、落とし込まれたファイルが上書きされます)。

  • 次に、Proclib16.dllファイルがWSOCK32.DLLにコピーされます。

  • これは、このトロイの木馬がインターネット接続をフックしたことを意味し、接続がオープンになっていると、proclib.exeが実行されることになります。

  • Count2Kは、ユーザ名とパスワード情報を傍受して、Count2Kの作成者にその情報を流すことを目的としているようです。