Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Trojan.Ploutus.3

Added to the Dr.Web virus database: 2013-12-17

Virus description added:

A malicious program designed to infect ATMs of one international manufacturer. It is distributed in Latin America and is supposedly installed on the system from a bootable CD.

It consists of the following components:

  • NCRWMI.exe—an executable file written in Delphi and installed on the system as the NCRDRVP system service. It downloads the SystemP.dll library.
  • SystemP.dll—a library written in Delphi. Operating as a sniffer, this library analyzes the whole bulk of IP traffic looking for incoming commands.

    screen

    The library supports the execution of the following commands:
    • 5449610000583686=xxxxxxxxxxxxxxxx—run the Trojan’s executable file with the xxxxxxxxxxxxxxxx parameter (C:\WINDOWS\system32\cmd.exe /c PLOUTOS.EXE 5449610000583686=xxxxxxxxxxxxxxxx).
    • 6037428100036810—kill the Ploutos.exe process (C:\WINDOWS\system32\cmd.exe /C START TASKKILL /F /IM Ploutos.exe).

    The 5449610000583686=xxxxxxxxxxxxxxxx command can be written on the magnetic strip of a card in the Track 2 section.

  • Ploutos.exe—a Trojan’s executable file that controls the infected ATM. It saves its configuration data in the config.ini file to the current folder. The log is saved to the Log.txt file. To perform some of its functions, the Trojan utilizes the ActiveXFSControls.dll dynamic library from the ATM’s SDK.

Parameters the Trojan receives look as follows:

5449610000583686=0123456789abcdYZ, where YZ—command, 0123456789abcd—parameters.

The main module can execute the following commands:

  • 5449610000583686=2836957412536985—generate the ID (4 random numbers) and enter the value into the DATAA parameter of the configuration file.
  • 5449610000583686=0123456789abcd54—activate the Trojan for 24 hours. The key is calculated using the following method:

    screen

    The operation time is added to the DATAB parameter of the configuration file. The activation key’s md5 value is entered into the DATAC parameter. The3d1905b7 value is taken from the command line as the key.
  • 5449610000583686=0123456789abcd31—command to withdraw cash (the number of 40 is hard coded in the Trojan’s body).

    screen

    This command is executed if a correct ID is specified via the command line (the a28c value is used).
  • 5449610000583686=0123456789abcd32—command to terminate the Trojan’s process. It is executed if a correct ID is specified via the command line (the a28c value is used).
  • 5449610000583686=0123456789abcd99—command to kill the Trojan’s process (cmd.exe /C TASKKILL /F /IM Ploutos.exe).

The ATM is controlled using XFSVendorModeServiceClass from the ActiveXFSControls.dll library, which is included in the device’s software.

The cash withdrawal routine is implemented as follows:

screen

Recommandations pour le traitement

  1. Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
  2. Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour Mac OS.

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile Dr.Web pour Android. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur la violation grave de la loi ou la demande d'une rançon est affiché sur l'écran de l'appareil mobile), procédez comme suit:
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil mobile Dr.Web pour Android et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android