Видео избрисао ГоГхо Тројан
Тројанац ГоГхо брише разне мултимедијалне датотеке са заражених рачунара.
A ГоГхо након стварања неких датотека, тројански вирус модификује базу података о регистрацији у неколико тачака. То чини Виндовс менаџер задатака, уређивач регистра и прозор наредбеног ретка, између осталог, неприступачним. Тројанац такође уклања Виндовс датотеку хостова са заражених система.
Главна сврха ГоГхо-а је брисање мултимедијалних датотека са различитим екстензијама. Међутим, злонамерни софтвер уклања ове датотеке само са диска „Е“ (ако такав диск постоји). Тројанац не штеди датотеке са екстензијама као што су мов, ави, вмв, мпг и мпег.
Када се ГоГхо тројанац покрене, извршава следеће радње:
- Креирајте следеће датотеке:
% ВинДир% \ систем32 \% Рандом Наме% \% Рандом Наме% .еке
% ВинДир% \ систем32 \% Рандом Наме% \ ГолденГхост.еке
% ВинДир% \ систем32 \% Насумично име% \ девил.оцк
% ВинДир% \ систем32 \% Насумично име% \ плуто.оцк - Брише следећу датотеку:
% ВинДир% \ систем32 \ дриверс \ етц \ хостс - Измените следеће уносе у бази података о регистрацији:
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \
Напредно \ хидефилеект = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \
Напредно \ супперхидден = 0
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Екплорер \
Напредно \ хидден = 2
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ ВиндовсНТ \ ЦуррентВерсион \
РегистередОрганизатион = ГолденГхост.Инц
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ ВиндовсНТ \ ЦуррентВерсион \
РегистередОвнер = ГолденГхост - Следећи уноси се додају у базу података за регистрацију:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Покрените „ГолденГхост“ = %Путања ГоГхо тројанца%
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Политике\Екплорер „НоФинд“ = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Политике\Екплорер „НоФолдерОптионс“ = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Политике\Екплорер „НоРун“ = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Смернице\Систем „ДисаблеЦМД“ = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
полици\Систем „ДисаблеРегистриТоолс“ = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
политике\Систем „ДисаблеТаскМгр“ = 1
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ ГолденГхост.А - Приказује следећу поруку у прозору који садржи текстуално поље:
„Ооххх… Аугхххх… да… душо…!!“ - Брише датотеке са следећим екстензијама са диска „Е“ (ако постоји):
* .мов
* .дат
* .вмв
* .3гп
* .ави
* .мпг
* .мпег
