Trojan.PSW.Goga

Goga [1] kann man als den ersten RTF-Trojaner bezeichnen. Weil man in RTF-Dateien (Rich Text Format) keine Makros speichern kann, galten diese bisher als sichere Alternative zu den Makrovirus-anfälligen Word DOC-Dateien.

Der Goga-Erfinder bediente sich einer Sicherheitslücke [2], die im Mai 2001 bekannt geworden war: Eine RTF-Datei kann mit einer verseuchten Word-Vorlage (DOT) verknüpft sein. Anders als bei den DOC-Dateien, unterschlägt Word beim Rich Text Format die Warnung über solche verknüpften Makros.

Im Fall Goga liegt diese verseuchte Vorlage auf einem Webserver, mit welchem sich die RTF-Datei verbinden kann, um die darin enthaltenen Makros auszuführen. Wie der finnische Virenjäger F-Secure schreibt [3], sei diese Vorlage inzwischen aus dem Web verschwunden; eine Tatsache, die sich mit einem allfälligen Goga-Nachfolger schnell wieder ändern kann.

Die zentrale Schadensfunktion von Goga besteht im Ausspionieren des Benutzernamens und Passworts, mit dem sich der Besitzer des infizierten PCs ins Internet einwählt. Diese Daten sendet Goga an ein im Web vorhandenes Gästebuch.

Es stehen Patches [4] für alle Word-Versionen (Word 97 und neuere) bereit. Diese sollen die für die DOC-Dateien übliche Makrowarnung auf die RTF-Dateien ausweiten.