日前，一個全新的后門木馬出現在人們的視線中，它可以從Skype中盜取文件、截屏并錄制用戶的通話記錄。這個叫做T9000的木馬是T5000的進化版，其在2013年和2014年尤為盛行，主要攻擊人權活動人士、汽車行業及亞太地區的政府。

來自美加州帕洛阿爾托Networkds的研究人員表示，雖然T9000現在只在美國組織的釣魚電子郵件中被發現，但只要攻擊者想要，他們則是可以利用其對任何目標發起攻擊。這款惡意軟件通過RTF文件(利用的是CVE-2012-1856和CVE-2015-1641)侵入用戶電腦。

和老版的相比，T9000更復雜。對這款惡意軟件進行過研究的研究人員指出，T9000的開發者用盡解數不讓其被殺毒軟件給檢測出來。

T9000的安裝過程分成多個階段進行，并且在每個階段開始前都會要先對設備內的惡意軟件分析工具和24小時安全檢測產品進行檢查—檢查的范圍非常廣，包括了Sophos、INCAInternet、DoctorWeb、Baidu、Comodo、TrustPortAntivirus、GData、AVG、BitDefender、VirusChaser、McAfee、Panda、Trend Micro、Kingsoft、Norton、Micropoint、Filseclab、AhnLab、JiangMin、Tecent、Avira、Kaspersky、Rising、Qihoo360。

一旦該惡意軟件安裝成功，那么它做的第一件事情就是收集來自感染系統的信息并將其發到C&C服務器上，這樣就能將每一位受害人區分開來。之后，服務器就會向目標設備發送基于盜取來的信息定制的模塊。

目前，研究人員已經確定了3個常用模塊。其中一個最重大的(tyeu.dat)則是用于專門監控Skype通話的模塊。只要這個模塊被下載到設備中并被點擊運行后，那么當用戶下次開啟Skype時，窗口就會跳出"explorer.exe wants to use Skype(explorer.exe想要使用Skype)”的信息。