Een Trojaans paard blijkt een maand lang ongestoord de online banking accounts van meer dan 5000 mensen te hebben gestolen. Per toeval kwamen beveiligers achter het bestaan van de Gozi trojan. Begin januari 2007 meldde een gebruiker dat verschillende van zijn accounts waren gekaapt. Verder onderzoek wees uit dat het om een nog onbekende malware executable ging. Het systeem bleek echter al sinds 13 december 2006 via een remote exploit geinfecteerd te zijn geweest.

Onderzoekers ontdekten ook de server waar alle gestolen accounts werden opgeslagen en aangeboden. De criminelen verkochten de gestolen logins. Zo vroeg men 100 dollar voor de accounts van een kleine retailer, terwijl die van eenk bank voor 2500 dollar van "eigenaar" verwisselden. In totaal werden op de server meer dan 10.000 verschillende accounts van zo'n 5200 slachtoffers aangetroffen, waaronder ambtenaren en andere overheidsdiensten. De totale waarde van de informatie bedroeg meer dan 2 miljoen dollar op de zwarte markt.

Gozi, waar inmiddels ook andere varianten van actief zijn, verspreidt zich via beveiligingslekken in Internet Explorer en weet via de Winsock 2 functionaliteit SSL/TLS beveiliging te omzeilen en het netwerkverkeer "on the fly" op te slaan voordat het versleuteld wordt. Don Jackson maakt de volgende uitgebreide analyse van deze zeer complexe malware.