Нетоскоп / Новости / Вирус в формате .rtf украдет ваши пароли

		Нетоскоп/Новости/15.06.2001 http://www.netoscope.ru/news/2001/06/15/2600.html Вирус в формате .rtf украдет ваши пароли Алексей Рерих 15.06.2001 14:03

Троян в формате .rtf, о возможности появления которого "Лаборатория Касперского" предупреждала еще в мае, начал распространяться по Интернету.

Троянская программа "Goga" использует слабые места текстового формата .rtf и дыру в системе защиты текстового редактора Microsoft Word. Об обнаружении дыры, которая есть во всех версиях текстового редактора с 95 по 2000 как для ОС Windows, так и для MacOS, корпорация Microsoft сообщила еще 21 мая этого года. Тогда же был выпущен соответствующий патч.

RTF-формат, до последнего времени считавшийся безопасным, подразумевает возможность "вкладывания" в файл самых различных модулей, в том числе и исполняемых программ. Слабое место редактора Word состоит в возможности автоматически, без предупреждения и активных действий пользователя, запускать вставленные в файл макросы, в том числе и вредоносные.

"Goga" использует эти возможности для проникновения в компьютер пользователя. Троян приходит как вложение в электронное письмо. Сразу после открытия зараженного документа редактор Word незаметно для пользователя загружает с удаленного сайта шаблон, содержащий макрос. Эта программа, в свою очередь, извлекает из .rtf-файла утилиту, которая собирает данные о параметрах доступа в Интернет и переписывает их в отдельный текстовый файл. Полученную таким образом информацию "Goga" отсылает на сайт общедоступных гостевых книг, где автор вируса может спокойно прочесть их и использовать по своему усмотрению.

Формат .rtf весьма популярнен и считается самым оптимальным для хранения текстовых данных. При этом троян в виде RTF-файла легко вводит в заблуждение пользователей, привыкших, что вирус к себе на компьютер можно занести только в случае, если запустить вложение в виде исполняемого файла с расширением .exe, .com или .vbs.