Videót töröl a GoGho trójai

A GoGho trójai a fertőzött számítógépekről különböző multimédiás állományokat töröl le.

A GoGho trójai néhány fájl létrehozása után számos ponton módosítja a regisztrációs adatbázist. Ezzel többek között elérhetetlenné teszi a Windows Feladatkezelőjét, a regisztrációs adatbázis szerkesztőjét valamint a parancssori ablakot. A trójai a Windows hosts fájlját is eltávolítja a fertőzött rendszerekről.

A GoGho legfontosabb célja, hogy különböző kiterjesztésekkel rendelkező, multimédiás állományokat töröljön le. A kártékony program azonban csak az “E” meghajtóról távolítja el ezeket a fájlokat (amennyiben ilyen betűjelű meghajtó létezik). A trójai nem kíméli többek között a mov, az avi, a wmv, az mpg és az mpeg kiterjesztésű állományokat sem.

Amikor a GoGho trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %WinDir%\system32\%Random Name%\%Random Name%.exe
   %WinDir%\system32\%Random Name%\GoldenGhost.exe
   %WinDir%\system32\%Random Name%\devil.ocx
   %WinDir%\system32\%Random Name%\pluto.ocx
2. Kitörli az alábbi állományt:
   %WinDir%\system32\drivers\etc\hosts
3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\hidefileext = 1
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\supperhidden = 0
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\hidden = 2
   HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
   RegisteredOrganization = GoldenGhost.Inc
   HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
   RegisteredOwner = GoldenGhost
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
   Run “GoldenGhost” = %Path of GoGho trojan%
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\Explorer “NoFind” = 1
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\Explorer “NoFolderOptions” = 1
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\Explorer “NoRun” = 1
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\System “DisableCMD” = 1
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   policies\System “DisableRegistryTools” = 1
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   policies\System “DisableTaskMgr” = 1
   HKEY_CURRENT_USER\Software\GoldenGhost.A
5. Megjeleníti a következő üzenetet egy szöveges mezőt tartalmazó ablakban:
   “Oohhh… Aughhhh… yes… babbby…!!”
6. Az “E” betűjelű meghajtóról (amennyiben az létezik) letörli a következő kiterjesztésekkel rendelkező állományokat:
   *.mov
   *.dat
   *.wmv
   *.3gp
   *.avi
   *.mpg
   *.mpeg