Для начала работы вируса Т9000, пользователю достаточно лишь открыть файл формата .rtf. Сама установка вируса происходит по многоступенчатому плану, поэтому он легко избегает детектирования.
Теперь конкретно по стадиям установки:
Многие авторитетные ресурсы, такие как http://itprof-tmn.ru/ рекомендуют изначально проводить полное сканирование, на предмет вредоносного кода, одним из 24 интересующих его антивирусов (включая как используемые всеми Kaspersy и DoctorWeb, так и малоизвестные AhnLab). В случае удачной установки, идёт процесс деинсталляции, подстроенные под конкретно вашу защиту.
Далее идёт установка опасной библиотеки с параллельной проверкой на опасность имеющихся антивирусов (опять). А уже потом, отталкиваясь от результата, Т9000 применяет подходящий ему путь развития для перехода в третью фазу установки.
Сам же опасный компонент активизируется исключительно после 4 ступени установки, но даже будучи установленным он способен неожиданно пропасть, не оставив никаких признаков своего присутствия. Если установка была успешной, то ваша версия операционной системы и имя пользователя отсылаются на удаленный сервер, а после чего загружаются на модули. С этого момента ваши данные могут беспрепятственно загружать.
Как работает вирус:
У Т9000 есть ряд плагинов, каждый из которых отвечает за выкачивание конкретного типа данных.
Первый плагин делает снимок вашего экрана трижды в минуту, и получает доступ к файлам Skype. Если он (Skype) у вас запущен, то взломщики нечестным путем вымогают права на данные вашего скайпа для своего вирусного .exe файла, иначе вся операция пройдёт безрезультатно. Если же пользователь все-таки предоставляет желаемое, то атакующий получает доступ к полному выкачиванию интересующей его информации.
Второй выкачивает документы ограниченного количества форматов (.doc, .ppt и так далее), включая данные со съемных дисков и носителей.
Третий же плагин служит для отслеживания даты создания файла, датой копирования файла, датой перемещения, изменения или удаления. В общем, плагин ведёт журнал по файлу.