Vidéo supprimée par GoGho Trojan

Le cheval de Troie GoGho supprime divers fichiers multimédias des ordinateurs infectés.

A AllezGho après avoir créé quelques fichiers, le cheval de Troie modifie la base de données d'enregistrement à plusieurs endroits. Cela rend la fenêtre du Gestionnaire des tâches de Windows, de l'Éditeur du Registre et de l'invite de commandes inaccessibles, entre autres. Le cheval de Troie supprime également le fichier des hôtes Windows des systèmes infectés.

L'objectif principal de GoGho est de supprimer les fichiers multimédia avec différentes extensions. Cependant, le malware supprime uniquement ces fichiers du lecteur « E » (si un tel lecteur existe). Le cheval de Troie n'épargne pas les fichiers portant des extensions telles que mov, avi, wmv, mpg et mpeg.

Lorsque le cheval de Troie GoGho démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
   % WinDir% \ system32 \% Nom aléatoire% \% Nom aléatoire% .exe
   % WinDir% \ system32 \% Nom aléatoire% \ GoldenGhost.exe
   % WinDir% \ system32 \% Nom aléatoire% \ devil.ocx
   % WinDir% \ system32 \% Nom aléatoire% \ pluto.ocx
2. Supprime le fichier suivant :
   % WinDir% \ system32 \ drivers \ etc \ hosts
3. Modifiez les entrées suivantes dans la base de données d'enregistrement :
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Avancé \ hidefileext = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Avancé \ supercaché = 0
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Avancé \ caché = 2
   HKEY_LOCAL_MACHINE \ Logiciel \ Microsoft \ WindowsNT \ CurrentVersion \
   Organisation enregistrée = GoldenGhost.Inc
   HKEY_LOCAL_MACHINE \ Logiciel \ Microsoft \ WindowsNT \ CurrentVersion \
   Propriétaire enregistré = GoldenGhost
4. Les entrées suivantes sont ajoutées à la base de données d'enregistrement :
   HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
   Exécutez « GoldenGhost » = %Chemin du cheval de Troie GoGho%
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Explorateur « NoFind » = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Explorateur « NoFolderOptions » = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Explorateur « NoRun » = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Système « DisableCMD » = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   politiques\Système « DisableRegistryTools » = 1
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   politiques\Système « DisableTaskMgr » = 1
   HKEY_CURRENT_USER \ Logiciel \ GoldenGhost.A
5. Affiche le message suivant dans une fenêtre contenant un champ de texte :
   "Oohhh… Aughhhh… oui… bébé… !!"
6. Il supprime les fichiers avec les extensions suivantes du lecteur « E » (s'il existe) :
   * .mov
   * .dat
   * .wmv
   * .3gp
   * .avi
   * .mpg
   * .mpeg