A GoGho trójai a fertőzött számítógépekről különböző multimédiás állományokat töröl le.
A GoGho trójai néhány fájl létrehozása után számos ponton módosítja a regisztrációs adatbázist. Ezzel többek között elérhetetlenné teszi a Windows Feladatkezelőjét, a regisztrációs adatbázis szerkesztőjét valamint a parancssori ablakot. A trójai a Windows hosts fájlját is eltávolítja a fertőzött rendszerekről.
A GoGho legfontosabb célja, hogy különböző kiterjesztésekkel rendelkező, multimédiás állományokat töröljön le. A kártékony program azonban csak az “E” meghajtóról távolítja el ezeket a fájlokat (amennyiben ilyen betűjelű meghajtó létezik). A trójai nem kíméli többek között a mov, az avi, a wmv, az mpg és az mpeg kiterjesztésű állományokat sem.
Amikor a GoGho trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%WinDir%\system32\%Random Name%\%Random Name%.exe
%WinDir%\system32\%Random Name%\GoldenGhost.exe
%WinDir%\system32\%Random Name%\devil.ocx
%WinDir%\system32\%Random Name%\pluto.ocx - Kitörli az alábbi állományt:
%WinDir%\system32\drivers\etc\hosts - A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\hidefileext = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\supperhidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\hidden = 2
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
RegisteredOrganization = GoldenGhost.Inc
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
RegisteredOwner = GoldenGhost - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run “GoldenGhost” = %Path of GoGho trojan%
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer “NoFind” = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer “NoFolderOptions” = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer “NoRun” = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System “DisableCMD” = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
policies\System “DisableRegistryTools” = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
policies\System “DisableTaskMgr” = 1
HKEY_CURRENT_USER\Software\GoldenGhost.A - Megjeleníti a következő üzenetet egy szöveges mezőt tartalmazó ablakban:
“Oohhh… Aughhhh… yes… babbby…!!” - Az “E” betűjelű meghajtóról (amennyiben az létezik) letörli a következő kiterjesztésekkel rendelkező állományokat:
*.mov
*.dat
*.wmv
*.3gp
*.avi
*.mpg
*.mpeg