Manuel Statik Analiz — Gozi (ISFB/Ursnif) | Tehdit: YUKSEK

Файл Kimliği

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Имя файлаatw3.dll (kısa DLL adı — 4 karakter)
Размер467.968 byte (457KB)
String Sayisi776

RegSaveKeyA: Registry Anahtarı Файлya Döküm

VERİ HIRSTIZLIĞI: Registry anahtarını dosyaya yazar!
RegSaveKeyA   -- Registry anahtarını .reg/.hiv dosyasına kaydet
RegOpenKeyW   -- Registry anahtarını aç
SHEnumKeyExA  -- Shell namespace üzerinden anahtar sayımı
-- RegSaveKeyA: nadiren görülen API → tüm alt anahtarlarla kayıt defteri dump
-- Gozi: tarayıcı şifrelerini HKCU\Software altında saklar ve dump eder
-- Dump → C2'ye gönderilir
-- SHEnumKeyExA: Shell namespace enumeration (yüklü uygulamalar tespiti)

NotifyBootConfigStatus: Önyükleme Yapılandırması

NotifyBootConfigStatus
-- Windows boot configuration bildirim API
-- "Boot config status" = BCD (Boot Configuration Data) durumu
-- Gozi: önyükleme sırasında aktif hale gelme (boot-level persistence)
-- BCD değişikliği: sistem başlarken DLL yüklenmesini sağlar
-- Yüksek kalıcılık: AV'den önce çalışır

IOC

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
DLLatw3.dll
KalıcılıkNotifyBootConfigStatus (boot-level)

Gozi — Профиль вредоносного ПО

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

Тип вредоносного ПО
Botnet
Язык программирования
C++
C2 Протокол
HTTP (RC4)
Целевые системы
Avrupa/Kuresel Finansal

Возможности и поведение

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Список IOC (1 индикаторов)

IOC — Gozi
# SHA256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
ТипЗначениеПримечание
sha256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Теги
goziisfbursnifatw3-dll-short-nameregsavekeya-registry-dumpnotifybootconfigstatus-boot-persistenceshenumkeyexa-shell-enumboot-level-persistence