A GoGho trójai a fertőzött számítógépekről különböző multimédiás állományokat töröl le.

A GoGho trójai néhány fájl létrehozása után számos ponton módosítja a regisztrációs adatbázist. Ezzel többek között elérhetetlenné teszi a Windows Feladatkezelőjét, a regisztrációs adatbázis szerkesztőjét valamint a parancssori ablakot. A trójai a Windows hosts fájlját is eltávolítja a fertőzött rendszerekről.

A GoGho legfontosabb célja, hogy különböző kiterjesztésekkel rendelkező, multimédiás állományokat töröljön le. A kártékony program azonban csak az “E” meghajtóról távolítja el ezeket a fájlokat (amennyiben ilyen betűjelű meghajtó létezik). A trójai nem kíméli többek között a mov, az avi, a wmv, az mpg és az mpeg kiterjesztésű állományokat sem.

Videót töröl a GoGho trójai

Amikor a GoGho trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %WinDir%\system32\%Random Name%\%Random Name%.exe
    %WinDir%\system32\%Random Name%\GoldenGhost.exe
    %WinDir%\system32\%Random Name%\devil.ocx
    %WinDir%\system32\%Random Name%\pluto.ocx
  2. Kitörli az alábbi állományt:
    %WinDir%\system32\drivers\etc\hosts
  3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\hidefileext = 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\supperhidden = 0
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced\hidden = 2
    HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
    RegisteredOrganization = GoldenGhost.Inc
    HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\
    RegisteredOwner = GoldenGhost
  4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run “GoldenGhost” = %Path of GoGho trojan%
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\Explorer “NoFind” = 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\Explorer “NoFolderOptions” = 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\Explorer “NoRun” = 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System “DisableCMD” = 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    policies\System “DisableRegistryTools” = 1
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    policies\System “DisableTaskMgr” = 1
    HKEY_CURRENT_USER\Software\GoldenGhost.A
  5. Megjeleníti a következő üzenetet egy szöveges mezőt tartalmazó ablakban:
    “Oohhh… Aughhhh… yes… babbby…!!”
  6. Az “E” betűjelű meghajtóról (amennyiben az létezik) letörli a következő kiterjesztésekkel rendelkező állományokat:
    *.mov
    *.dat
    *.wmv
    *.3gp
    *.avi
    *.mpg
    *.mpeg