Manuel Statik Analiz — Gozi (ISFB/Ursnif) | Tehdit: YUKSEK

Fichier Kimliği

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Nom du fichieratw3.dll (kısa DLL adı — 4 karakter)
Taille467.968 byte (457KB)
String Sayisi776

RegSaveKeyA: Registry Anahtarı Fichierya Döküm

VERİ HIRSTIZLIĞI: Registry anahtarını dosyaya yazar!
RegSaveKeyA   -- Registry anahtarını .reg/.hiv dosyasına kaydet
RegOpenKeyW   -- Registry anahtarını aç
SHEnumKeyExA  -- Shell namespace üzerinden anahtar sayımı
-- RegSaveKeyA: nadiren görülen API → tüm alt anahtarlarla kayıt defteri dump
-- Gozi: tarayıcı şifrelerini HKCU\Software altında saklar ve dump eder
-- Dump → C2'ye gönderilir
-- SHEnumKeyExA: Shell namespace enumeration (yüklü uygulamalar tespiti)

NotifyBootConfigStatus: Önyükleme Yapılandırması

NotifyBootConfigStatus
-- Windows boot configuration bildirim API
-- "Boot config status" = BCD (Boot Configuration Data) durumu
-- Gozi: önyükleme sırasında aktif hale gelme (boot-level persistence)
-- BCD değişikliği: sistem başlarken DLL yüklenmesini sağlar
-- Yüksek kalıcılık: AV'den önce çalışır

IOC

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
DLLatw3.dll
KalıcılıkNotifyBootConfigStatus (boot-level)

Gozi — Profil du malware

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

Type de malware
Botnet
Langage de programmation
C++
Protocole C2
HTTP (RC4)
Systèmes ciblés
Avrupa/Kuresel Finansal

Capacités et comportement

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Liste IOC (1 indicateurs)

IOC — Gozi
# SHA256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
TypeValeurNote
sha256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Tags
goziisfbursnifatw3-dll-short-nameregsavekeya-registry-dumpnotifybootconfigstatus-boot-persistenceshenumkeyexa-shell-enumboot-level-persistence