Si bien es cierto que estos emails están dirigidos a organizaciones gubernamentales de Asia y el Pacífico, a activistas de derechos humanos y a participantes de la industria del automóvil, es también válido para cualquier víctima que acabe recibiendo dicho email. El malware se ampara en las vulnerabilidades CVE-2012-1856 y CVE-2015-1641 para solicitar acceso remoto a la API de Skype para comenzar sus ataques. El T9000 es un malware muy cuidadoso, ya que primero comprueba si existe algún antivirus que pueda localizarlo. Si considera que puede saltarse las barreras de seguridad de los antivirus del sistema, se acaba instalando. A partir de ahí, el T9000 basa sus ataques en tres módulos de actuación.

El primer módulo es el tyeu.dat, que espía conversaciones de Skype. Cuando se ejecuta lanza un pequeño aviso con el mensaje “explorer.exe solicita acceso para Skype”. De darle a aceptar el malware podrá grabar audio, vídeo, conversaciones de texto y hasta realizar capturas de la pantalla. El segundo módulo de actuación es el vnkd.dat, que se ejecuta cuando el atacante desea robar archivos del disco duro con las extensiones doc, ppt y xls, de la suite de Microsoft. Por último, el tercer módulo qhnj.dat es el más peligroso, dado que recibe órdenes para crear, modificar y borrar carpetas y archivos de sistema pudiendo, literalmente, destruir todo el ordenador a su antojo.

Fuente: muyseguridad