Video odstraněno GoGho Trojan

GoGho Trojan odstraní různé multimediální soubory z infikovaných počítačů.

A GoGho po vytvoření některých souborů trojský kůň v několika bodech upraví registrační databázi. To mimo jiné činí nepřístupným Správce úloh systému Windows, Editor registru a okno Příkazový řádek. Trojan také odebere soubor hostitelů systému Windows z infikovaných systémů.

Hlavním účelem GoGho je mazat multimediální soubory s různými příponami. Malware však tyto soubory odstraní pouze z jednotky „E“ (pokud taková jednotka existuje). Trojan nešetří soubory, mimo jiné s příponami mov, avi, wmv, mpg a mpeg.

Když trojský kůň GoGho spustí, provede následující akce:

1. Vytvořte následující soubory:
   % WinDir% \ system32 \% Náhodné jméno% \% Náhodné jméno% .exe
   % WinDir% \ system32 \% Náhodné jméno% \ GoldenGhost.exe
   % WinDir% \ system32 \% Náhodné jméno% \ devil.ocx
   % WinDir% \ system32 \% Náhodné jméno% \ pluto.ocx
2. Odstraní následující soubor:
   % WinDir% \ system32 \ drivers \ etc \ hosts
3. Upravte následující položky v registrační databázi:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Advanced \ hidefileext = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Advanced \ supperhidden = 0
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Advanced \ hidden = 2
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
   Registrovaná organizace = GoldenGhost.Inc
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
   RegisteredOwner = GoldenGhost
4. Do registrační databáze se přidávají následující položky:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
   Spusťte „GoldenGhost“ =% Path of GoGho trojan%
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Policies \ Explorer „NoFind“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Policies \ Explorer „NoFolderOptions“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Policies \ Explorer „NoRun“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Zásady \ Systém „DisableCMD“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   policies \ System „DisableRegistryTools“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   policies \ System “DisableTaskMgr” = 1
   HKEY_CURRENT_USER \ Software \ GoldenGhost.A
5. V okně obsahujícím textové pole zobrazí následující zprávu:
   "Oohhh ... Aughhhh ... ano ... babbby ... !!"
6. Odstraní soubory s následujícími příponami z jednotky „E“ (pokud existuje):
   * .mov
   * .dat
   * .wmv
   * .3gp
   * .avi
   * .mpg
   * .mpeg