A Kaspersky Lab jelentése szerint több országban – de főként Oroszországban – is backdoor (hátsóajtó) programokat találtak néhány bankautomatán. A Backdoor.MSIL.Tyupkin telepítéséhez fizikai hozzáférésre van szükség: az automata rendszerét ugyanis egy CD-ről kell bootolni, ami pedig egyúttal meg is fertőzi a gépet.

A kártevő, amit most már széles körben felismerik a biztonsági szoftverek, egy 32 bites Windows .NET assembly, és egy nagy bankautomata-gyártó készülékeit fertőzte meg.

A telepítés után a felhasználónak egy speciális aktiváló kódot kell megadnia. Minden egyes használat során egy új kódra is szükség van, amit a felhasználónak közvetlenül a vírust telepítő, és az algoritmust ismerő bandától kell beszereznie. Ahogy a felhasználó megadja az első kódot, a vírus egy újabb számsort kér, ehhez pedig fel kell hívni a program telepítőit, akik megadják a következő kódot. Ezáltal a banda közvetlenül ellenőrizheti a kiadott pénzmennyiséget.

A második számsor begépelése után a kártékony program megmutatja, mennyi pénz van az automata kazettáiban, aztán pedig 40 bankjegyet ad ki egy meghatározott kazettából.

A vírus csak vasárnapon és hétfő esténként, bizonyos időszakokban adja ki a pénzt. A Kaspersky szerint erre azért volt szükség, hogy minél nehezebben lehessen kiszúrni a kártevőt, de persze azt is lehetővé teszi, hogy a vírust terjesztők a saját munkaidejüket szabályozzák, hiszen így csak bizonyos órákban kell telefonügyeletet tartani és kódok megadásához.

A Kaspersky eddig 20 oroszországi Backdoor.MSIL.Tyupkin-nal fertőzött bankautomatáról szerzett tudomást, ezen kívül Franciaországban 4, Izraelben és Kínában 2-2, Indiában, az Egyesült Államokban és malajziában pedi 1-1 támadás történt.