Сообщение # 1 | 14:35:41 09 Фев 2016
О новой разновидности вредоносного ПО, названного T9000, предупредила фирма Palo Alto Networks. Эта сложная троянская программа, входящая в семейство T5000, позволяет хакерам отслеживать всю активность Skype на пораженном компьютере и использует продвинутые технологии для обезвреживания антивирусного ПО.

В частности, T9000 выявляет в системе 24 вида наиболее популярных защитных продуктов, включая Sophos, DoctorWeb, AVG, BitDefender, McAfee, Trend Micro и Kingsoft, после чего вносит изменения в процедуру их установки, позволяющие избегать обнаружения.

Инфицирование компьютера через уязвимости CVE-2012-1856 и CVE-2015-1641 происходит при случайном открытии пользователем файла RTF. После этого вредоносная программа автоматически собирает данные о поражённой системе и файлы определённых типов, хранящиеся на сменных носителях. Регистрируя деятельность захваченного компьютера, T9000 получает возможность похищать документы, логины и пароли.

Подключившись к Skype, новый троянец записывает видеосессии, звонки, текстовый чат. Все полученные данные сохраняются в созданной для этого папке Intel. Признаком заражения могут стать предупреждения системы о том, что explorer.exe хочет использовать Skype.

Эксперты информационной безопасности из Palo Alto Networks сообщили, что программа T9000 применялась в многих атаках, нацеленных на организации США. Они не вдавались в рассуждения о вероятном происхождении нового штамма, однако его предшественника T5000, открытого в 2013 г., связывали с группой хакеров Grand Theft Auto Panda, якобы имеющей поддержку правительства Китая.