Trojan.Ploutus.3

A malicious program designed to infect ATMs of one international manufacturer. It is distributed in Latin America and is supposedly installed on the system from a bootable CD.

It consists of the following components:

NCRWMI.exe—an executable file written in Delphi and installed on the system as the NCRDRVP system service. It downloads the SystemP.dll library.
SystemP.dll—a library written in Delphi. Operating as a sniffer, this library analyzes the whole bulk of IP traffic looking for incoming commands.
The library supports the execution of the following commands:
- 5449610000583686=xxxxxxxxxxxxxxxx—run the Trojan’s executable file with the xxxxxxxxxxxxxxxx parameter (C:\WINDOWS\system32\cmd.exe /c PLOUTOS.EXE 5449610000583686=xxxxxxxxxxxxxxxx).
- 6037428100036810—kill the Ploutos.exe process (C:\WINDOWS\system32\cmd.exe /C START TASKKILL /F /IM Ploutos.exe).
The 5449610000583686=xxxxxxxxxxxxxxxx command can be written on the magnetic strip of a card in the Track 2 section.
Ploutos.exe—a Trojan’s executable file that controls the infected ATM. It saves its configuration data in the config.ini file to the current folder. The log is saved to the Log.txt file. To perform some of its functions, the Trojan utilizes the ActiveXFSControls.dll dynamic library from the ATM’s SDK.

Parameters the Trojan receives look as follows:

5449610000583686=0123456789abcdYZ, where YZ—command, 0123456789abcd—parameters.

The main module can execute the following commands:

5449610000583686=2836957412536985—generate the ID (4 random numbers) and enter the value into the DATAA parameter of the configuration file.
5449610000583686=0123456789abcd54—activate the Trojan for 24 hours. The key is calculated using the following method:
The operation time is added to the DATAB parameter of the configuration file. The activation key’s md5 value is entered into the DATAC parameter. The3d1905b7 value is taken from the command line as the key.
5449610000583686=0123456789abcd31—command to withdraw cash (the number of 40 is hard coded in the Trojan’s body).
This command is executed if a correct ID is specified via the command line (the a28c value is used).
5449610000583686=0123456789abcd32—command to terminate the Trojan’s process. It is executed if a correct ID is specified via the command line (the a28c value is used).
5449610000583686=0123456789abcd99—command to kill the Trojan’s process (cmd.exe /C TASKKILL /F /IM Ploutos.exe).

The ATM is controlled using XFSVendorModeServiceClass from the ActiveXFSControls.dll library, which is included in the device’s software.

The cash withdrawal routine is implemented as follows:

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Скачайте
Dr.Web для Android

Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через
AppGallery/Google Pay

Технологии

Термины

Обучение и просвещение

Мифы

Рекомендации по лечению

Демо бесплатно на 14 дней