From: support@microsoft.com
Sender: support@microsoft.com
Received: from Microsoft (stara65.pip.digsys.bg [193.68.4.65])
Subject: Microsoft Announcement
Date: Wed, 15 Sep 1999 00:49:57 +0200

To All Microsoft Users,
We are excited to announce Microsoft Year 2000 Counter.  

Start the countdown NOW.
Let us all get in the 21 Century.
Let us lead the way to the future and we will get YOU there FASTER and SAFER.

Thank you,
Microsoft Corporation

Il file attach è un self extracting che aggiunge questi i file
Proclib.exe
Proclib.dll
Proclib16.dll
ntsvsrv.dll
Nlhvld.dll

Il file "ntsvsrv.dll" viene definito all'ultima linea dei 'drivers=' nella sezione [boot] del SYSTEM.INI. Al successivo riavvio del sistema, WSOCK32.DLL presente in WINDOWS\SYSTEM è rinominato Nlhvld.dll. Il file Proclib16.dll è copiato in WSOCK32.DLL.

Lo scopo del virus è quello di intercettare il vostro user ID e la vostra password e fornirla all'autore del virus stesso.

Come si diffonde
Come già detto si diffonde attraverso l'attach di messaggi e-mail .

Come ci si infetta
Viene attivato lanciando il programma "Y2KCOUNT.EXE" allegato alla mail stessa.

Come rimuoverlo
1. Aprire il file System.ini , e alla linea drivers= sezione [boot] rimuovere il file ntsvsrv.dll.

2. Riavviare il sistema e NON AVVIARE nessuna applicazione Internet

3. Copiare il file WINDOWS\SYSTEM\Nlhvld.dll in WINDOWS\SYSTEM\WSOCK32.DLL. Confermare la eventuale richiesta di sovrascrivere. Se appare un messaggio che non consente di eseguire questa operazione perchè il file è in uso, chiudete e ripetete il punto 2.

4. Cancellare i files:

 Proclib.exe
 Proclib.dll
 Proclib16.dll
 ntsvsrv.dll
 Nlhvld.dll

dalla directory WINDOWS\SYSTEM.

I files Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll sono presenti come "Count2K trojan"; il file originale "Y2KCount.exe" è presente come "Count2K.sfx" e  "Project1.exe" come  "Count2K.dr".