近日网络安全服务商趋势科技与欧洲刑警组织的欧洲网络犯罪中心（Europol EC3）联合发现了一款新的入侵ATM的恶意软件- Alice，Alice能够将ATM的保险柜金洗劫一空，不用任何银行卡，不用输入密码就能让里面的现金分分钟易主。

其实使用恶意软件来入侵ATM在刑事系统中是很常见的。在过去，安全专家们已经发现了一些类似图的恶意软件。比如Tyupkin（Padpin），Ploutus，padpin，suceful，GreenDispenser。

Alice的独特之处

Alice在2016年11月首次被发现，刚开始研究人员推测Alice很可能是Tyupkin（Padpin）的最新变体，但经过进一步的调查，专家们发现Alice是个全新的ATM恶意攻击软件。趋势科技表示：“Alice很明显与与其他ATM恶意软件不同，Alice没有信息窃取的功能，只是用来洗劫ATM保险柜的。”根据研究人员的分析，使用Alice的犯罪分子必须先得物理接触到目标ATM，这表明很大程度上是内鬼所为、或者银行员工在安装时没能留意到程序有被恶意软件所修改过。安全人员说：“攻击者会输入PIN码来洗劫ATM机，而且作案之后，Alice也不会特意的对自己进行卸载，它只通过在适当的环境中运行可执行文件来实施犯罪。”

Alice不像早先的GreenDispenser恶意软件那样，具有很强的隐蔽功能，GreenDispenser这款恶意软件附加了深度删除功能，以便攻击者在把钞箱洗劫一空之后，清除掉自己留下的踪迹。据说Alice也可以通过远程桌面协议（RDP）使用，但研究人员目前没有发现这种使用的痕迹。

Alice的运行过程如下：

当Alice执行时，它在根目录中创建一个空的5 MB大小的文件，名为xfs_supp.sys并显示出一条虚假的错误日志文件TRCERR.LOG。xfs_supp.sys用零填充，但不包含数据，TRCERR.LOG会跟踪任何XFS API调用的相关消息或错误。即使恶意软件被删除，该文件仍会保留在计算机上，可能是以后进行故障排除或者只是因为vxers忘记删除它。

“自动取钱”详情

研究人员注意到，Alice仅连接到CurrencyDispenser1外设，并且不包括使用PIN键盘的代码，可能是为了犯罪分子与ATM进行物理访问时通过USB或CD-ROM进行感染。

专家们分析到：

Alice只连接到CurrencyDispenser1外设，它从不尝试使用机器的PIN键盘。这个运行的逻辑应该是，Alice背后的罪犯需要通过USB或CD-ROM对ATM进行物理打开并感染机器，然后将键盘连接到机器的主板，并通过它运行恶意软件。

而其他ATM恶意软件，比如GreenDispenser则能够实现XFS，延伸至专门用于AMT机器的金融服务DLL运行库(MSXFS.dll)。该库提供了一种专用的通讯接口(API)，用于与自动取款机的PIN pad和现金分配器进行通信。

Alice恶意软件的代码至今还没有被破解，因为它使用了VMProtect，，VMProtect是一个软件保护软件。通过这个软件保护的代码部分在虚拟机上执行，这使得被保护的程序很难被分析与破解。另外在非ATM的环境中Alice会自动停止运行。

Alice支持以下三个命令，每个命令通过特定的PIN发出：

删除文件以进行卸载。
退出程序运行卸载/清理程序。
打开“操作面板”，查看ATM中可用的现金数量。

一旦Alice进入到ATM的环境中，就会开始攻击，通过钱骡子进入到ATM保险柜，ATM的屏幕上就会显示现在ATM里每个钞票箱里有多少现金，并且询问犯罪分子要洗劫哪个钞票箱，然后通过WFSExecute API把取钞命令发送到CurrencyDispenser1外设。选择后，ATM会从选定的钞票箱中每次吐出来40张钞票。

不过Alice每次运行的时候都需要犯罪分子来把Windows任务管理器taskmgr.exe重新替换成Alice。