Trojan se zaměřuje zejména na čísla platebních karet včetně kódů CVV, čísla sociálního pojištění, čísla platebních online účtů a na rozličná uživatelská jména a hesla. Stejně jako v případě minulé verze i nový Gozi umí ukrást informace ze zón zabezpečených pomocí SSL. Všechny získané údaje pak posílá na ruský server.
Novou variantu Goziho našel Don Jackson ze společnosti SecureWorks, tedy tentýž člověk, který v lednu tohoto roku odhalil existenci první verze.
Gozi dospívá
Podle Jaksona se nová varianta sice podobá předchozí, ale zaznamenala dvě zásadní vylepšení. Prvním je nová a dosud nevídaná packovací utilita, která šifruje, poškozuje, komprimuje a dokonce smazává části tohoto trojského koně, aby jej nezachytily standardní antivirové nástroje. Přitom původní verze Goziho používala vcelku běžnou packovací utilitu zvanou Upack, která se pomocí antivirových programů detekovala snadněji.
Dalším vylepšením je nová schopnost zaznamenávání stisknutých kláves (keystroke logging neboli krátce keylogging). K aktivaci keyloggeru dojde okamžitě, jakmile uživatel vstoupí na stránku zabezpečenou pomocí SSL, tj. třeba stránky internetového bankovnictví nebo při platbě kartou v internetovém obchodě. Podle Jacksona zatím není jasné, jak přesně keylogger ví, kdy se zapnout a kdy zachytit informace.
Kromě těchto dvou odlišností je nová varianta identická s předešlou. K infikování počítače trojský kůň Gozi využívá dříve opravené zranitelnosti v tagu iFrame v Internet Exploreru.
Než byla původní verze odhalena, Gozi ukradl více než 10 000 záznamů obsahujících důvěrné informace od asi 5.200 domácích uživatelů, společností, vládních agentur a soudních organizací.
