Videoposnetek je izbrisal GoGho Trojan

GoGho Trojan izbriše različne večpredstavnostne datoteke iz okuženih računalnikov.

A GoGho ko ustvari nekaj datotek, trojan na več točkah spremeni registracijsko bazo podatkov. Zaradi tega so med drugim nedostopni upravitelj opravil sistema Windows, urejevalnik registra in okno ukaznega poziva. Trojanec odstrani tudi datoteko gostiteljev Windows iz okuženih sistemov.

Glavni namen GoGho je brisanje večpredstavnostnih datotek z različnimi razširitvami. Vendar bo zlonamerna programska oprema te datoteke odstranila samo iz pogona "E" (če tak pogon obstaja). Trojanec med drugim ne prihrani datotek z razširitvami mov, avi, wmv, mpg in mpeg.

Ko se GoGho Trojan zažene, izvede naslednja dejanja:

1. Ustvarite naslednje datoteke:
   % WinDir% \ system32 \% Naključno ime% \% Naključno ime% .exe
   % WinDir% \ system32 \% Naključno ime% \ GoldenGhost.exe
   % WinDir% \ system32 \% Naključno ime% \ devil.ocx
   % WinDir% \ system32 \% Naključno ime% \ pluto.ocx
2. Izbriše naslednjo datoteko:
   % WinDir% \ system32 \ drivers \ etc \ hosts
3. V zbirki registracij spremenite naslednje vnose:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Napredno \ hidefileext = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Napredno \ supperhidden = 0
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Napredno \ skrito = 2
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
   Registrirana organizacija = GoldenGhost.Inc
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
   RegisteredOwner = GoldenGhost
4. V bazo podatkov o registraciji se dodajo naslednji vnosi:
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
   Zaženi “GoldenGhost” =% Pot trojanca GoGho%
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politike \ Explorer "NoFind" = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politike \ Explorer “NoFolderOptions” = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politike \ Explorer "NoRun" = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politike \ Sistem »DisableCMD« = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   policy \ System “DisableRegistryTools” = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   policy \ System “DisableTaskMgr” = 1
   HKEY_CURRENT_USER \ Software \ GoldenGhost.A
5. V oknu z besedilnim poljem prikaže naslednje sporočilo:
   "Oohhh ... Aughhhh ... ja ... babbby ... !!"
6. Izbriše datoteke z naslednjimi razširitvami iz pogona "E" (če obstajajo):
   * .mov
   * .dat
   * .wmv
   * .3gp
   * .avi
   * .mpg
   * .mpeg