Según los expertos en seguridad de Palo Alto, este troyano T9000 se distribuye a través del correo electrónico con un archivo adjunto del tipo rtf que al tratar de abrirlo hace que se instale el malware en el ordenador sin que nos demos cuenta. Es un virus que ya anteriormente habíamos hablado, debido a que es capaz de robar información de conversaciones de Skype.
Aunque el T9000 va más dirigido a activistas de derechos humanos, la industria del automóvil o los gobiernos de Asia y Pacífico, puesto que su principal objetivo es recoger información de inteligencia.
En total, es capaz de saltarse las barreras de seguridad de un total de 24 productos comoSophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPorAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, Jiangmin, Tencent, Avira, Kaspersky, Rising y Qihoo 360.
Por lo tanto, si todo va bien y el T9000 consigue instalarse en el PC de la víctima sin que sea detectado, lo primero que hace es recopilar información sobre el sistema que ha conseguido infectar y la envía a un servidor C&C, pudiendo por lo tanto distinguir la información por cada víctima.
El malware trabaja en módulos dependiendo del objetivo de lo que se quiera. Tyeu.dat, que es el responsable de espiar las conversaciones de Skype El siguiente módulo esvnkd.dat, que se carga sólo cuando el autor del malware quiere robar archivos desde el ordenador del usuario, y el tercer módulo es qhnj.dat, el más peligroso puesto que permite que el servidor C&C pueda enviar comandos con los que el T9000 pueda crear, mover y borrar archivos y directorios, cifrar los datos o incluso capturar los datos del portapapeles del usuario.