可怕当然不是爱剁手的女人 而是比清空购物车更可怕的清空 ATM 机

　　原标题：可怕当然不是爱剁手的女人 而是比清空购物车更可怕的清空 ATM 机

　　能力越大，作恶后果就越可怕。

　　当然不是爱剁手的女人，而是比清空购物车更可怕的清空 ATM 机。

　　两年前，卡巴斯基发现了一款新型恶意软件，可直接从 ATM 机上盗取资金，至少有 140 家银行和企业的网络被此类恶意软件感染。遭遇攻击的银行和企业分属 40个不同国家，其中，美国、法国、肯尼亚、厄瓜多尔、英国的大兄弟受到的攻击最严重。

　　这种恶意软件有个牛气哄哄的背景：它从复杂的计算机蠕虫病毒 Stuxnet 衍生而来，之前，这个软件是由美国和以色列开发，用来攻击伊朗的核设施。

　　万万没想到，攻击核设施的恶意软件还能用来搞垮 ATM，黑客为了挣钱，条条大路通罗马。黑客还挺狡猾，使用了常见的系统管理软件和安全软件伪装这款恶意软件，大大降低了它被发现的几率。

　　美国时间 10 月 11 日，外媒又报道，上次揪出了伪装的 ATM 恶意软件，这次卡巴斯基又发现了一个新恶意软件，还给它取了个名字叫“ATMii”。意思很明白了：ATM 2.0 版本！

　　“ATMii”是个什么鬼

　　不过，卡巴斯基把这个发现捂在手里大半年才被媒体报道出来。

　　今年 4 月，卡巴斯基就发现了 ATMii 恶意软件，它会执行两个模块：注射器模块（exe.exe）和要注入的模块（dll.dll），从而从目标机器中偷钱。

　　这个恶意软件的安装很简单：直接物理访问或网络访问目标 ATM，安装恶意代码。

　　卡巴斯基拿到这个恶意软件的样本后进行了分析： 注入器是不受保护的命令行应用程序，以 Visual C 语言编写，还在上面搞了个四年前的假编译时间戳混淆视听。恶意代码适用于 Windows XP 以及更高版本的系统，而这些正是大部分 ATM 的运行系统。

　　同行相轻，黑客界也不例外。

　　卡巴斯基的研究员一边分析一边吐槽： 针对 atmapp.exe（专有ATM软件）进程的注入器写得相当烂，因为它取决于几个参数。如果没有给出来，应用程序就会捕获异常。

　　下面就是可能只有安全人员才看得懂的 blabla了：

　　支持的参数包括：

　　/ load，它试图将dll.dll注入atmapp.exe。

　　/ cmd，它创建或更新C：\ ATM \ c.ini文件，将命令和参数传递给受感染的库。

　　/ unload，它尝试从atmapp.exeprocess卸载注入的库，同时恢复其状态。

　　可用的命令允许分配所需数量的现金，检索有关ATM现金卡的信息，并从ATM中完全删除C：\ ATM \ c.ini文件。

　　注入DllMain函数后，dll.dll 库加载 msxfs.dll，并使用函数mWFSGetInfo替换WFSGetInfofunction。

　　注入的模块尝试找到 ATM 的 CASH_UNIT 服务 ID 并存储结果。

　　如果成功，所有连续的调用将重定向到mWFSGetInfofunction，该函数从C：\ ATM \ c.inifile中解析并执行命令。