Video von GoGho-Trojaner gelöscht
Der Trojaner GoGho löscht verschiedene Multimediadateien von infizierten Computern.
A GoGho Nach dem Anlegen einiger Dateien verändert der Trojaner die Registrierungsdatenbank an mehreren Stellen. Dies macht unter anderem den Windows Task-Manager, den Registrierungs-Editor und das Eingabeaufforderungsfenster unzugänglich. Der Trojaner entfernt auch die Windows-Hosts-Datei von infizierten Systemen.
Der Hauptzweck von GoGho besteht darin, Multimediadateien mit verschiedenen Erweiterungen zu löschen. Die Malware entfernt diese Dateien jedoch nur von Laufwerk „E“ (sofern ein solches Laufwerk existiert). Der Trojaner spart unter anderem keine Dateien mit den Erweiterungen mov, avi, wmv, mpg und mpeg.
Wenn der GoGho-Trojaner startet, führt er die folgenden Aktionen aus:
- Erstellen Sie die folgenden Dateien:
% WinDir% \ system32 \% Zufälliger Name% \% Zufälliger Name% .exe
% WinDir% \ system32 \% Zufälliger Name% \ GoldenGhost.exe
% WinDir% \ system32 \% Zufälliger Name% \ devil.ocx
% WinDir% \ system32 \% Zufälliger Name% \ pluto.ocx - Löscht die folgende Datei:
% WinDir% \ system32 \ driver \ etc \ hosts - Ändern Sie die folgenden Einträge in der Registrierungsdatenbank:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Explorer \
Erweitert \ hidefileext = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Explorer \
Erweitert \ supperhidden = 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Explorer \
Erweitert \ versteckt = 2
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
Registrierte Organisation = GoldenGhost.Inc
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
Registrierter Besitzer = GoldenGhost - Folgende Einträge werden in die Registrierungsdatenbank aufgenommen:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Currentversion \
Führen Sie „GoldenGhost“ =% Pfad des GoGho-Trojaners% aus
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
Richtlinien \ Explorer „NoFind“ = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
Richtlinien \ Explorer „NoFolderOptions“ = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
Richtlinien \ Explorer „NoRun“ = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
Richtlinien \ System „DisableCMD“ = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
Richtlinien \ System „DisableRegistryTools“ = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
Richtlinien \ System „DisableTaskMgr“ = 1
HKEY_CURRENT_USER \ Software \ GoldenGhost.A - Zeigt die folgende Meldung in einem Fenster mit einem Textfeld an:
„Oohhh… Aughhhh… ja… Schätzchen… !!“ - Löscht Dateien mit den folgenden Erweiterungen von Laufwerk "E" (falls vorhanden):
* .mov
* .dat
* .wmv
* 3 gpg
* .avi
* .mpg
* .mpeg
