GoGho木马删除的视频
GoGho 木马从受感染的计算机中删除各种多媒体文件。
A 高歌 创建几个文件后,木马会在几个点修改注册数据库。 这使得 Windows 任务管理器、注册表编辑器和命令提示符窗口无法访问等。 该木马还会从受感染的系统中删除 Windows 主机文件。
GoGho的主要用途是删除不同扩展名的多媒体文件。但是,恶意软件仅从驱动器“E”(如果存在此类驱动器)中删除这些文件。该木马不会保留 mov、avi、wmv、mpg 和 mpeg 等扩展名的文件。
当 GoGho 木马启动时,它会执行以下操作:
- 创建以下文件:
%WinDir%\system32\%随机名称%\%随机名称%.exe
%WinDir%\system32\%随机名称%\GoldenGhost.exe
%WinDir%\system32\%随机名称%\devil.ocx
%WinDir%\system32\%随机名称%\pluto.ocx - 删除以下文件:
%WinDir%\system32\drivers\etc\hosts - 修改注册数据库中的以下条目:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
高级\hidefileext = 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
高级\超隐藏= 0
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
高级\隐藏= 2
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
注册组织 = GoldenGhost.Inc
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
注册所有者 = GoldenGhost - 以下条目将添加到注册数据库中:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
运行“GoldenGhost” = %GoGho 木马路径%
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\资源管理器“NoFind”= 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\资源管理器“NoFolderOptions”= 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\资源管理器“NoRun”= 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\系统“DisableCMD”= 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\系统“DisableRegistryTools”= 1
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\系统“DisableTaskMgr”= 1
HKEY_CURRENT_USER \ Software \ GoldenGhost.A - 在包含文本字段的窗口中显示以下消息:
“噢噢……噢噢……是的……宝贝……!!” - 它从“E”驱动器(如果存在)中删除具有以下扩展名的文件:
* .mov
* .dat文件
* .wmv
* .3gp
* .AVI
* .mpg
* .mpeg