Film usunięty przez trojana GoGho
Trojan GoGho usuwa różne pliki multimedialne z zainfekowanych komputerów.
A GoGho po utworzeniu kilku plików trojan modyfikuje bazę danych rejestracji w kilku punktach. Sprawia to, że między innymi niedostępny jest Menedżer zadań systemu Windows, Edytor rejestru i okno wiersza polecenia. Trojan usuwa również plik hosts systemu Windows z zainfekowanych systemów.
Głównym celem GoGho jest usuwanie plików multimedialnych o różnych rozszerzeniach. Jednak złośliwe oprogramowanie usunie te pliki tylko z dysku „E” (jeśli taki dysk istnieje). Trojan nie oszczędza plików z rozszerzeniami m.in. mov, avi, wmv, mpg i mpeg.
Po uruchomieniu trojan GoGho wykonuje następujące działania:
- Utwórz następujące pliki:
% WinDir% \ system32 \% Losowa nazwa% \% Losowa nazwa% .exe
% WinDir% \ system32 \% Losowa nazwa% \ GoldenGhost.exe
% WinDir% \ system32 \% Losowa nazwa% \ devil.ocx
% WinDir% \ system32 \% losowa nazwa% \ pluto.ocx - Usuwa następujący plik:
% WinDir% \ system32 \ drivers \ etc \ hosts - Zmodyfikuj następujące wpisy w bazie danych rejestracji:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Zaawansowane \ hidefileext = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Zaawansowane \ superukryte = 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Zaawansowane \ ukryte = 2
HKEY_LOCAL_MACHINE\Oprogramowanie\Microsoft\WindowsNT\CurrentVersion\
Zarejestrowana Organizacja = GoldenGhost.Inc
HKEY_LOCAL_MACHINE\Oprogramowanie\Microsoft\WindowsNT\CurrentVersion\
Zarejestrowany właściciel = Złoty Duch - Do bazy danych rejestracyjnych dodawane są następujące wpisy:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Uruchom „GoldenGhost” =% Ścieżka trojana GoGho%
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ Eksplorator „NoFind” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ Explorer „NoFolderOptions” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ Explorer „NoRun” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ System „DisableCMD” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
zasady \ System „DisableRegistryTools” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
zasady \ System „DisableTaskMgr” = 1
HKEY_CURRENT_USER \ Oprogramowanie \ GoldenGhost.A - Wyświetla następujący komunikat w oknie zawierającym pole tekstowe:
„Oohhh… Aughhhh… tak… babciu… !!” - Usuwa pliki z następującymi rozszerzeniami z dysku „E” (jeśli istnieje):
* .mov
* .dat
* .wmv
* 3 gp
* .avi
* .mpg
* .mpeg
