Gogo.A

Gogo.A realiza las siguientes acciones:

• Presenta funciones de rootkit, lo que le permite ocultar los archivos y procesos de Gogo.A, para así dificultar su detección.
• Comprueba si hay conexión a Internet disponible, conectándose a la página www.sina.com.cn.
• Monitoriza las páginas web que el usuario visita. Para ello, se registra como BHO (Browser Helper Object).
• De esta manera, podría obtener información confidencial, como contraseñas y nombres de usuario.
• Finalmente, envía la información recogida a un determinado servidor.

Gogo.A crea crea los siguientes archivos:

• VIDEOATI0.EXE, VIDEOATI.DLL, COMCTL3.SRG y DELSELF.BAT, en el directorio de sistema de Windows.
• VIDEOATI0.SYS, en la subcarpeta DRIVERS del directorio de sistema de Windows. Este archivo corresponde a Rootkit/Gogo.A.
• STDIE.DLL y LIB, en el directorio de Windows.

Gogo.A crea las siguientes entradas en el Registro de Windows:

• HKEY_CLASSES_ROOT\ Gogo.IEhlprObj
• HKEY_CLASSES_ROOT\ CLSID\ {A3803141-3CF5-4D66-B7EA-8D2674FE152C}
  Mediante estas entradas, Gogo.A se registra como BHO (Browser Helper Object).
• HKEY_CLASSES_ROOT\ Interface\ {13D90754-C6BC-4C7E-9E9E-399C211136EF
• HKEY_CLASSES_ROOT\ TypeLib\ {9FD6C9E2-54F8-48A9-BEF6-964F9C221AE4}

Gogo.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Gogo.A está escrito en el lenguaje de programación Visual C++ v6. Este troyano tiene un tamaño de 368325 Bytes.