År 2000-trojaner kaprer passord

I Storbritannia er det spredd et e-post-vedlegg som utgir seg for å være et nedtellingsprogram mot år 2000 fra Microsoft. Vedlegget er en trojaner som kaprer brukernavn og passord.

Det understrekes at e-post-meldingen har fulgt en bane gjennom Internett som gjør at den umulig kan stamme fra Microsoft. Som vanlig med ondsinnet kode har denne "År 2000-trojaneren" allerede fått flere navn: Y2KCount, Polyglot, Count2K og så videre. Den fungerer bare under Windows 95 og 98.

Ifølge en analyse lagt ut på nettstedet til Data Fellows, oppgir e-postmeldingen sitt opphav som support@microsoft.com og oppfordrer mottakeren til å åpne vedlegget Y2KCount.exe for å være med på nedtellingen mot år 2000. Vedlegget leverer en feilmelding og ser deretter ut til å gå i stå. Mottakeren merker ikke det som egentlig skjer: En exe-fil og fire dat-filer pakkes ut. Exe-filen installerer en trojaner. Fire dll-filer kopieres til Windows-system-katalogen og system.ini-filen endres for å sikre at trojaneren lanseres neste gang Windows starter.

Når den er aktiv, overvåker trojaneren all Internett-trafikk på systemet, og sjekker spesielt strenger som "login", "password" og "username", for å kapre brukernavn og passord. Trojaneren skal være i stand til å kommunisere dette ut til en ikke kjent adressat. Det er også mulig at den kan fungere som bakdør inn i systemet.

Data Fellows forklarer på sitt nettsted at du må kjøre vedlegget for å smittes. Har du gjort det, er trojaneren installert innen den villedende feilmeldingen dukker opp. For å fjerne koden må du slette fire navngitte dll-filer, redigere system.ini-filen fra DOS - ikke fra Windows - og døpe om en fil som trojaneren har endret navnet på.

Nærmest identiske opplysninger er lagt ut hos Network Associates, Symantec og Trend Micro.

Ifølge TechWeb er Count2k opprinnelig fra Bulgaria og har mange trekk felles med ExploreZip (eller Explore.Zip), en av de tre nye globale virusepidemiene i første halvår - i tillegg til CIH og Melissa.

Til toppen