‚Goga' nutzt Sicherheitslücke in MS Word!

Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt PC-Anwender vor dem neuen Trojaner ‘Goga'. Dieser spioniert Informationen über Logins, Passwörter und andere Parameter des Internet-Zugangs aus und versendet diese anschließend. Der Benutzer bemerkt diesen Vorgang in aller Regel nicht. Bei Kaspersky Labs häufen sich die Meldungen über das Auftreten dieses Virus "in the wild" bereits.

Der Trojaner Goga hat zwei Besonderheiten. Zum Einen verwendet er als Transportmittel Dateien im RTF-Format. Das führt viele PC-Anwender in die Irre, weil RTF-Dateien bisher als sicher galten. Es kommt vor, dass diese Dateien geöffnet werden, ohne dass sie vorher mit einem Antiviren-Programm überprüft wurden.

Zum Anderen nutzt Goga eine bekannte Sicherheitslücke der Textverarbeitung Microsoft Word aus (http://www.microsoft.com/technet/security/bulletin/MS01-028.asp). Diese ermöglicht es einem Virus, unbemerkt für den Nutzer schädliche Codes unmittelbar nach dem Öffnen des Dokuments auszuführen.

Wurde auf dem Computer kein Patch installiert, das diese Sicherheitslücke behebt, lädt MS Word beim Lesen der RTF-Datei automatisch eine Schablone (Template) von einer Remote-Webseite herunter. Word informiert den Benutzer über diesen Vorgang nicht. Im Fall von Goga enthält das heruntergeladene Template ein schädliches Makroprogramm. Das Makro extrahiert aus dem binären Block der RTF-Datei eine Utility-Datei. Diese sammelt Informationen über das Einloggen ins Internet, wie Logins oder Passwörter, und speichert die Informationen in einer Text-Datei. Anschließend startet Goga ein Script, das die gewonnene Text-Datei im Gästebuch einer Internetseite veröffentlicht. Dort kann der Urheber des Virus unbehelligt auf diese Informationen zugreifen.

Allen Word-Anwendern wird empfohlen, das Sicherheits-Patch für MS Word auf ihrem Computer zu installieren. Damit kann diese bekannte Sicherheitslücke geschlossen werden und weder Goga, noch ein anderer Trojaner kann auf diesem Wege unbemerkt eindringen und Schaden anrichten. Allerdings könnte Word noch unbekannte Sicherheitslücken besitzen.s Grundsätzlich sollten alle RTF-Dateien mit einem Virenscanner auf ihre Unschädlichkeit geprüft werden.

Ein Update zum Schutz vor dem neuen Trojanischen Programm wurde der Antiviren-Datenbank von Kaspersky Anti-Virus bereits hinzugefügt.

Kaspersky Anti-Virus ist über den Kaspersky Labs Online Store oder über ein weltweites Netz von Kaspersky Anti-Virus Distributoren und Wiederverkäufern zu beziehen. Eine Liste der Händler findet sich unter http://www.kaspersky.com/de/buyoffline.asp.

Die kostenlose Trial-Version von Kaspersky Anti-Virus kann unter http://www.kaspersky.com/de/download.asp heruntergeladen werden.

Der kostenlose Newsletter von Kaspersky Labs kann unter http://www.kaspersky.com/de/subscribeNow.asp abonniert werden.