Видео удалено трояном GoGho
Троянец GoGho удаляет с зараженных компьютеров различные мультимедийные файлы.
A ГоГхо после создания нескольких файлов троян изменяет регистрационную базу данных в нескольких точках. Это, помимо прочего, делает недоступными окна диспетчера задач Windows, редактора реестра и командной строки. Троянец также удаляет файл hosts Windows из зараженных систем.
Основная цель GoGho — удаление мультимедийных файлов с разными расширениями. Однако вредоносная программа удаляет эти файлы только с диска «Е» (если такой диск существует). Троянец не сохраняет файлы с такими расширениями, как mov, avi, wmv, mpg и mpeg.
При запуске троянец GoGho выполняет следующие действия:
- Создайте следующие файлы:
% WinDir% \ system32 \% Случайное имя% \% Случайное имя% .exe
% WinDir% \ system32 \% Случайное имя% \ GoldenGhost.exe
% WinDir% \ system32 \% Случайное имя% \ devil.ocx
% WinDir% \ system32 \% Случайное имя% \ pluto.ocx - Удаляет следующий файл:
% WinDir% \ system32 \ drivers \ etc \ hosts - Измените следующие записи в базе данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Дополнительно \ hidefileext = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Продвинутый \ supperhidden = 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
Дополнительно \ hidden = 2
HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ WindowsNT \ CurrentVersion \
Зарегистрированная организация = GoldenGhost.Inc
HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ WindowsNT \ CurrentVersion \
ЗарегистрированныйВладелец = GoldenGhost - В базу данных регистрации добавляются следующие записи:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Запустите «GoldenGhost» = %Путь трояна GoGho%
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики\Проводник «NoFind» = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики\Проводник «NoFolderOptions» = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики\Проводник «NoRun» = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики\Система «DisableCMD» = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
политики\Система «DisableRegistryTools» = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
политики\Система «DisableTaskMgr» = 1
HKEY_CURRENT_USER \ Программное обеспечение \ GoldenGhost.A - Отображает следующее сообщение в окне, содержащем текстовое поле:
— Оооооооооооооооооооооооооооооооооооооооооооооооооооооооооооооооооооооо... - Удаляет с диска «Е» (если он есть) файлы со следующими расширениями:
* .mov
* .dat
* .wmv
* .3gp
* .avi
* .mpg
* .mpeg
