Alias: Polyglot, Count2k, Y2KCount Update from Microsoft

El troyano Y2KCount apareció por primera vez el 15 de Septiembre de 1999, como el archivo Y2KCount.EXE adjunto a un mensaje de correo supuestamente enviado por Microsoft. El mensaje era:

De: support@microsoft.com
Emisor: support@microsoft.com
Asunto: Microsoft Announcement
Fecha: Miércoles, 15 de septiembre de 1999, 00:49:57 +0200

To all Microsoft Users,

We are excited to announce Microsoft Year 2000 Counter.

Start the countdown NOW.
Lets us all get in the 21 Century.
Let us lead the way to the future and we will get YOU there FASTER and SAFER.

Thank you,

Microsoft corporation

El archivo Y2KCount.EXE es un archivo ZIP autoextraible que contiene un paquete de instalación para el nuevo troyano de Internet. El archivo ZIP incluye a su vez otros cinco archivos (PROJECT1.EXE y 4 archivos .DAT, el primero funciona como un instalador). Cuando se ejecuta Y2KCount.EXE aparece una ventana con el mensaje:

"Password protection error or invalid CRC32!"

Al mismo tiempo, el troyano se instala a sí mismo en el sistema, copia los cuatro archivos en \Windows\System\directory: PROCLIB.EXE, PROCLIB.DLL, PROCLIB16.DLL y NTSVSRV.DLL. Entonces modifica el archivo SYSTEM.INI de modo que el troyano pueda ser ejecutado automáticamente mientras se arranca Windows. El troyano añade 'ntsvsrv.dll' después de la lista de drivers ('drivers='tag). Durante el inicio de la siguiente sesión de Windows, copia PROCLIB16.DLL COMO WSOCK32.DLL. Esto permitirá al troyano monitorizar las actividades de Internet en el sistema infectado.
Al estar activo, el troyano chequea todo el tráfico buscando palabras como 'login', 'password', 'username' con el objetivo de conseguir los datos del usuario para entrar en red e Internet.