Manuel Statik Analiz — Gozi (ISFB/Ursnif) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4 |
|---|---|
| Dosya Adı | atw3.dll (kısa DLL adı — 4 karakter) |
| Boyut | 467.968 byte (457KB) |
| String Sayisi | 776 |
RegSaveKeyA: Registry Anahtarı Dosyaya Döküm
VERİ HIRSTIZLIĞI: Registry anahtarını dosyaya yazar!
RegSaveKeyA -- Registry anahtarını .reg/.hiv dosyasına kaydet RegOpenKeyW -- Registry anahtarını aç SHEnumKeyExA -- Shell namespace üzerinden anahtar sayımı -- RegSaveKeyA: nadiren görülen API → tüm alt anahtarlarla kayıt defteri dump -- Gozi: tarayıcı şifrelerini HKCU\Software altında saklar ve dump eder -- Dump → C2'ye gönderilir -- SHEnumKeyExA: Shell namespace enumeration (yüklü uygulamalar tespiti)
NotifyBootConfigStatus: Önyükleme Yapılandırması
NotifyBootConfigStatus -- Windows boot configuration bildirim API -- "Boot config status" = BCD (Boot Configuration Data) durumu -- Gozi: önyükleme sırasında aktif hale gelme (boot-level persistence) -- BCD değişikliği: sistem başlarken DLL yüklenmesini sağlar -- Yüksek kalıcılık: AV'den önce çalışır
IOC
| SHA256 | c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4 |
|---|---|
| DLL | atw3.dll |
| Kalıcılık | NotifyBootConfigStatus (boot-level) |
Gozi — Malware Profile
Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.
Malware Type
Botnet
Programming Language
C++
C2 Protocol
HTTP (RC4)
Target Systems
Avrupa/Kuresel Finansal
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — Gozi
# SHA256
c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
| Type | Value | Note |
|---|---|---|
| sha256 | c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4 |