Bu rehber, gerçek Ursnif örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Ursnif Nedir?

Ursnif, ilk olarak 2007 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

Ursnif (Gozi) is a banking trojan active since 2007. Credential theft, form grabbing. Multiple variants: ISFB, RM3, LDR4. Used by TA544 and others.

Atıf / Tehdit Aktörü: TA544 (Narwhal Spider), TA551 (Shathak), multiple operators

Teknik Detay: Ursnif (Gozi/ISFB) is one of the oldest banking trojans, active since 2007. Source code leaked 2010 and 2015 spawning numerous variants: ISFB, RM3, LDR4. Man-in-the-browser attacks: form grabbing, video capture of banking sessions, web injections. C2 uses RSA-1024 encrypted HTTPS with domain generat

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Ursnif örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
413cf6a694eef7a4f1725a11938f1ab2df1957bfb3bf20cf6a47017bebbad2a9SHA256Ursnif
c6d2842609ff7389bb35237b8d80194f03d0cc53107644b23beb356638ad27b6SHA256NULL
deb96eeb98aa7a0549027dadfafd5d3ebbce2006d4ad2272683ea82911026d79SHA256NULL
2e7251af64675b22c9d3a76fd8f1360593a5968f244ac707a8303b3dd9da502eSHA256NULL
09b5a80fdf4e4a9dd17220e188aa7761ce6e04a43eb349237acb1456b684847aSHA256NULL
798d5713512b5cb6228138ceea7c8066MD5Ursnif
4bea2c714e4408ab5a1aa6acc2c2dd70MD5NULL
03d18440089ddba76eefa70107412ea0MD5NULL
023465ce4787e0b333d26e899b275bb8MD5NULL
b1f216ed5e0129e65b7d57d76f64dafcMD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Ursnif Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.