Manuel Statik Analiz — Gozi (ISFB/Ursnif) | Tehdit: YUKSEK

Dosya Kimliği

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Dosya Adıatw3.dll (kısa DLL adı — 4 karakter)
Boyut467.968 byte (457KB)
String Sayisi776

RegSaveKeyA: Registry Anahtarı Dosyaya Döküm

VERİ HIRSTIZLIĞI: Registry anahtarını dosyaya yazar!
RegSaveKeyA   -- Registry anahtarını .reg/.hiv dosyasına kaydet
RegOpenKeyW   -- Registry anahtarını aç
SHEnumKeyExA  -- Shell namespace üzerinden anahtar sayımı
-- RegSaveKeyA: nadiren görülen API → tüm alt anahtarlarla kayıt defteri dump
-- Gozi: tarayıcı şifrelerini HKCU\Software altında saklar ve dump eder
-- Dump → C2'ye gönderilir
-- SHEnumKeyExA: Shell namespace enumeration (yüklü uygulamalar tespiti)

NotifyBootConfigStatus: Önyükleme Yapılandırması

NotifyBootConfigStatus
-- Windows boot configuration bildirim API
-- "Boot config status" = BCD (Boot Configuration Data) durumu
-- Gozi: önyükleme sırasında aktif hale gelme (boot-level persistence)
-- BCD değişikliği: sistem başlarken DLL yüklenmesini sağlar
-- Yüksek kalıcılık: AV'den önce çalışır

IOC

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
DLLatw3.dll
KalıcılıkNotifyBootConfigStatus (boot-level)

Gozi — Malware Profile

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

Malware Type
Botnet
Programming Language
C++
C2 Protocol
HTTP (RC4)
Target Systems
Avrupa/Kuresel Finansal

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Gozi
# SHA256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
TypeValueNote
sha256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Tags
goziisfbursnifatw3-dll-short-nameregsavekeya-registry-dumpnotifybootconfigstatus-boot-persistenceshenumkeyexa-shell-enumboot-level-persistence