นักวิจัยด้านความปลอดภัยจาก Palo Alto ได้พบมัลแวร์สายพันธุ์ใหม่ชื่อ “T9000” ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของมัลแวร์นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน
สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที
จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่ามัลแวร์จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry เช่น Sophos, Baidu, McAfee, Trend Micro, Kaspersky เป็นต้น
T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่ tyeu.