Video odstránil GoGho Trojan

Trojan GoGho odstraňuje rôzne multimediálne súbory z infikovaných počítačov.

A GoGho trójsky kôň po vytvorení niekoľkých súborov v niekoľkých bodoch upraví registračnú databázu. Vďaka tomu je okrem iného nedostupný Správca úloh systému Windows, Editor databázy Registry a okno príkazového riadka. Trójsky kôň tiež odstráni súbor hostiteľov systému Windows z infikovaných systémov.

Hlavným účelom GoGho je mazanie multimediálnych súborov s rôznymi príponami. Malvér však tieto súbory odstráni iba z jednotky „E“ (ak taká jednotka existuje). Trójsky kôň nešetrí súbory s príponami ako mov, avi, wmv, mpg a mpeg.

Keď sa GoGho Trojan spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
   % WinDir% \ system32 \% Náhodný názov% \% Náhodný názov% .exe
   % WinDir% \ system32 \% Náhodný názov% \ GoldenGhost.exe
   % WinDir% \ system32 \% Random Name% \ diabol.ocx
   % WinDir% \ system32 \% Náhodný názov% \ pluto.ocx
2. Vymaže nasledujúci súbor:
   % WinDir% \ system32 \ ovládače \ atď \ hostitelia
3. Upravte nasledujúce položky v registračnej databáze:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Advanced \ hidefileext = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Advanced \ superhidden = 0
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Rozšírené \ skryté = 2
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
   RegisteredOrganization = GoldenGhost.Inc
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
   RegisteredOwner = GoldenGhost
4. Do registračnej databázy sa pridávajú tieto položky:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
   Spustite „GoldenGhost“ = %Path of GoGho trojan%
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Zásady\Explorer „NoFind“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Zásady\Explorer „NoFolderOptions“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Zásady\Explorer „NoRun“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Zásady\Systém „DisableCMD“ = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   policy\System “DisableRegistryTools” = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   policy\System “DisableTaskMgr” = 1
   HKEY_CURRENT_USER \ Software \ GoldenGhost.A
5. Zobrazí nasledujúcu správu v okne obsahujúcom textové pole:
   "Oohhh... Aughhhh... áno... baby...!!"
6. Vymaže súbory s nasledujúcimi príponami z jednotky „E“ (ak existuje):
   * .mov
   * .dat
   * .wmv
   * 3 gp
   * .avi
   * .mpg
   * .mpeg