“Лаборатория Касперского” (www.kaspersky.ru) обнаружила троянскую программу Goga, незаметно для пользователя отсылающую на удаленный компьютер информацию о логинах, паролях и других параметрах доступа к Сети. Эта программа имеет две отличительные черты. Во-первых, она использует в качестве носителей файлы формата RTF. Это дезориентирует пользователей, поскольку до сих пор многие из них считают эти файлы абсолютно безопасными и нередко запускают их без проверки антивирусной программой. Во-вторых, Goga проникает в ПК через брешь в системе безопасности текстового процессора Microsoft Word, которая позволяет злоумышленнику незаметно для владельца компьютера выполнять вредоносные коды сразу же после открытия зараженного документа.
Если на компьютере не установлена “заплатка”, устраняющая данную брешь, то при чтении зараженного RTF-файла MS Word автоматически и без каких-либо предупреждений загрузит с удаленного Web-сайта шаблон (template),содержащий вредоносную макропрограмму. Эта макропрограмма извлекает из бинарной секции RTF-файла дополнительную утилиту. Она собирает данные о параметрах входа в Интернет (логины, пароли и др.) и записывает их в специальный текстовый файл. Затем Goga запускает скрипт-программу, размещающую этот файл на Web-сайте общедоступных гостевых книг, откуда автор троянской программы периодически получает похищенную информацию.