Video cancellato da GoGho Trojan
Il Trojan GoGho elimina vari file multimediali dai computer infetti.
A GoGho dopo aver creato alcuni file, il trojan modifica il database di registrazione in diversi punti. Ciò rende inaccessibili, tra le altre cose, il Task Manager di Windows, l'editor del registro e la finestra del prompt dei comandi. Il Trojan rimuove anche il file hosts di Windows dai sistemi infetti.
A GoGho legfontosabb célja, hogy különböző kiterjesztésekkel rendelkező, multimédiás állományokat töröljön le. A kártékony program azonban csak az “E” meghajtóról távolítja el ezeket a fájlokat (amennyiben ilyen betűjelű meghajtó létezik). A trójai nem kíméli többek között a mov, az avi, a wmv, az mpg és az mpeg kiterjesztésű állományokat sem.
All'avvio di GoGho Trojan, esegue le seguenti azioni:
- Crea i seguenti file:
% WinDir% \ system32 \% Nome casuale% \% Nome casuale% .exe
% WinDir% \ system32 \% Nome casuale% \ GoldenGhost.exe
% WinDir% \ system32 \% Nome casuale% \ devil.ocx
% WinDir% \ system32 \% Nome casuale% \ pluto.ocx - Elimina il seguente file:
% WinDir% \ system32 \ drivers \ etc \ hosts - Modificare le seguenti voci nel database di registrazione:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Avanzato \ hidefileext = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Avanzato \ supernascosto = 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Avanzato \ nascosto = 2
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \
Organizzazione registrata = GoldenGhost.Inc
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \
Proprietario registrato = GoldenGhost - Le seguenti voci vengono aggiunte al database di registrazione:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Run “GoldenGhost” = %Path of GoGho trojan%
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies\Explorer “NoFind” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies\Explorer “NoFolderOptions” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies\Explorer “NoRun” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies\System “DisableCMD” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
policies\System “DisableRegistryTools” = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
policies\System “DisableTaskMgr” = 1
HKEY_CURRENT_USER \ Software \ GoldenGhost.A - Visualizza il seguente messaggio in una finestra contenente un campo di testo:
“Oohhh… Aughhhh… yes… babbby…!!” - Az “E” betűjelű meghajtóról (amennyiben az létezik) letörli a következő kiterjesztésekkel rendelkező állományokat:
* .mov
* .dat
* .wmv
* .3gp
* .avi
* .mpg
* .mpeg
