По словам экспертов Palo Alto Networks, T9000 является потомком троянской программы T5000, которая впервые была обнаружена в 2013 году. Заражения вредоносным ПО происходит через вложения формата RTF в электронной почте.
T9000 не распознается антивирусами из-за того, что он имеет продвинутую стелс-систему, которая скрывает вирус в момент его установки, после чего другие средства поддерживают скрытую работу трояна.
По мнению экспертов, главная цель разработчиков T9000 американские компании, но от заражения не застрахован никто. После установки в системе троян начинает делать скриншоты и отправлять их на удаленный сервер. Эти данные анализируются, и если, например, вы вводите пароль, который отображается на экране, злоумышленники будут его знать.
Если же на зараженном устройстве запущен Skype, троян обращается к программе от имени explorer.exe и отправляет запрос на доступ. Пользователь, считая, что запрос поступил от стандартного браузера, принимает его, после чего T9000 получает полный доступ к программе.
Аудио- и видеозаписи разговоров программа сохраняет в папке % APPDATA% \ Intel \ Roaming \ Skype. Данные также передаются злоумышленникам и могут использоваться для шантажа или получения доступа к банковским и личным аккаунтам.
Поскольку пока антивирусы бессильны против нового трояна, эксперты рекомендуют проявлять осторожность при работе с электронной почтой. Никогда не открывайте вложения к письмам, авторов которых вы не знаете, особенно если они содержат T9000 файлы с расширением .rtf.