該新惡意軟件家族名為“艾麗絲”(Alice)，是至今為止最暴力直白的ATM威脅。它沒有任何信息竊取功能，甚至不能通過ATM的數字小鍵盤進行控制。

雖然是在2016年才首次被發現，艾麗絲據信2014年左右便已出現，趨勢科技稱這僅僅是迄今為止的第8個ATM惡意軟件家族——雖然此類威脅早已在我們身邊長達9年多了。

艾麗絲需要能物理接觸到ATM機才能使用，趨勢科技認為其設計目的是為了讓錢騾偷走被攻擊柜員機里所有現金。該功能在去年便被發現過，當時的執行軟件名為GreenDispenser。

但是，與老款不同，這一新威脅不連接ATM機的密碼輸入鍵盤，且能通過遠程桌面協議運作。雖然趨勢科技稱至今尚未發現此類用例。

惡意軟件分析發現：艾麗絲(該名字在惡意軟件二進制文件的版本信息中有包含Alice字樣)采用了一款名為VMProtect的商用加殼/混淆器進行打包，防止在調試器中被運行。而且，該惡意軟件還會在運行之前檢查自身環境，只要發現自己不是運行在ATM機上就會終止進程(主要檢查幾個注冊表鍵和系統上是否安裝有特定DLL)。

若運行在ATM機上，艾麗絲會在根目錄寫入2個文件，5 MB+大小的空文件xfs_supp.sys，以及名為TRCERR.LOG的錯誤日志文件。然后，它會連上CurrencyDispenser1外設，也就是XFS環境中的吐鈔設備。只要輸入正確的密碼，CurrencyDispenser1就會顯示ATM機內各個錢匣里所裝鈔票的信息。

由于該惡意軟件只連接CurrencyDispenser1外設，而不嘗試使用機器的密碼輸入鍵盤，研究人員認為，攻擊者是物理打開ATM機并通過USB或光驅感染機器的。另外，攻擊者還將鍵盤連接到了ATM機的主板上，通過這個鍵盤來操作惡意軟件。

艾麗絲支持3個指令，每一個都通過特定PIN碼發送：其一是釋放卸載文件，另一個是推出程序并執行卸載/清理操作，第三個則是打開“操作面板”。該面板就是ATM內可用現金信息的展示板。

攻擊者只需輸入錢匣的ID便可讓ATM機吐光鈔票。吐鈔指令通過WFSExecute編程接口發送給CurrencyDispenser1外設。因為ATM機通常會有吐鈔數量限制，攻擊者可能需要多次重復同樣的操作，才能清空ATM機里錢匣存放的所有鈔票。剩余可用現金的信息會動態顯示在屏幕上，攻擊者可據此知曉錢匣什么時候被清空。

趨勢科技認為，攻擊者用艾麗絲手動替換了目標ATM機上的Windows任務管理器，因為被感染系統上發現的該惡意軟件通常是以taskmgr.exe的形式存在的。該惡意軟件沒有長期駐留方法，但以任務管理器的形式運行，意味著每次系統發出啟動任務管理器的指令，艾麗絲就會被啟動。

吐鈔前的PIN碼輸入操作，揭示出艾麗絲只能用于現場攻擊。它既沒有精心謀劃的安裝機制，也沒有縝密的卸載機制，就是通過在合適的環境中運行可執行文件來起效。

PIN驗證系統與其他ATM惡意軟件家族使用的類似，但同時也給艾麗絲的作者提供了對其使用者的授權控制。通過修改各樣本的訪問碼，作者既能防止錢騾共享惡意軟件代碼，又能追蹤單個錢騾。

被分析的樣本使用了4位數字的口令，但其他樣本或許使用的是更長的PIN碼。該PIN碼不能被暴力破解，因為艾麗絲有輸入次數限制，超過次數就會自我了斷并顯示一條錯誤消息。研究人員還認為，Alice可在任意使用了微軟擴展金融服務中間件(XFS)的硬件上運行。

直到最近，ATM惡意軟件在惡意軟件世界中都還是利基類別（注：利基是指某些空白的細分領域），被一小撮犯罪團伙以高度針對性的方式使用。但我們正處在ATM惡意軟件逐漸成為主流的節點上。