«Лаборатория Касперского» предупреждает пользователей об обнаружении троянской программы «Goga», незаметно для пользователя отсылающей на удаленный компьютер информацию о логинах, паролях и других параметрах выхода в сеть Интернет. «Лаборатория Касперского» уже получила несколько сообщений о фактах обнаружения вируса в «диком виде».
Эта троянская программа имеет две отличительные черты. Во-первых, она использует в качестве носителей файлы формата RTF. Это дезориентирует пользователей, поскольку до сих пор многие из них считают эти файлы абсолютно безопасными и нередко запускают их без проверки антивирусной программой.
Во-вторых, «Goga» использует известную брешь в системе безопасности текстового процессора Microsoft Word, которая позволяет злоумышленнику незаметно для владельца компьютера выполнять вредоносные коды сразу же после открытия зараженного документа.
Если на компьютере не установлена «заплатка», устраняющая данную брешь, то при чтении файла-носителя (RTF-файла) MS Word автоматически и без каких-либо предупреждений загрузит с удаленного Web сайта шаблон (template), содержащий вредоносную макро-программу. Эта макро-программа извлекает из бинарной секции RTF-файла дополнительную утилиту, которая собирает данные о параметрах входа в Интернет (логины, пароли и др.) и записывает их в специальный текстовый файл. Затем «Goga» запускает скрипт-программу, которая публикует полученный текстовый файл на Web-сайте общедоступных гостевых книг, откуда автор троянской программы периодически получает похищенную информацию.
Процедуры защиты от троянской программы уже внесены в ежедневное обновление базы данных Антивируса Касперского.
Троянская программа проникает на компьютеры при чтении RTF-файлов!