一银ATM盗领案：调查局找到更多骇客使用的ATM控制程式

第一银行爆发ATM盗领案后，法务部调查局周二晚间发布新闻稿指出骇客植入两只工具程式，以控制ATM自动吐钞，今天（7/13）又有新发现，骇客利用删除工具以清除恶意程式，企图除掉植入的相关工具程式迹证。

为调查第一银行ATM盗领案，调查局资通安全处昨天兵分多路，前往一银总行及资讯处、分行及德利多富（Wincor）搜集相关资料，昨天晚间公布在40部德利多富型号pro cash 1500的ATM硬盘中找到两只恶意程式，“cngdisp.exe”及“cngdisp_new.exe”，经测试发现其功能为控制ATM吐钞。

今天上午调查局揭露更多在ATM盗领案中骇客所使用的工具，包括“cnginfo.exe”、“cngdisp.exe”、“cleanup.bat”及“sdelete.exe”。其中cnginfo.exe主要用来取得ATM相关资料，包括系统资讯、卡夹资讯，并测试开启吐钞开关夹，cleanup.bat为batch档，用来删除上述控制程式，而sdelete.exe则是删除程式，删除相关资料。

40部被植入相关工具程式的ATM，由于部分的资料已被删除，调查局透过鉴识尽力还原歹徒远端控制ATM吐钞的盗领手法。但目前发现的工具程式并没有连线功能，调查局资通安全处表示，骇客如何植入控制程式到ATM还有待调查，是今后调查的方向，需向一银取得更多资料才能进一步了解植入的方式。

由于这次被盗领的ATM机型也有其他金融机构使用，调查局公布了工具程式的MD5，让其他银行也能自行侦测比对，清查使用的同款ATM是否也被植入相关的工具程式。

调查局发现的3支程式及1支指令档，均存于C:\Documents and Settings\Administrator\