Manuel Statik Analiz — Gozi (ISFB/Ursnif) | Tehdit: YUKSEK

Datei Kimliği

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Dateinameatw3.dll (kısa DLL adı — 4 karakter)
Größe467.968 byte (457KB)
String Sayisi776

RegSaveKeyA: Registry Anahtarı Dateiya Döküm

VERİ HIRSTIZLIĞI: Registry anahtarını dosyaya yazar!
RegSaveKeyA   -- Registry anahtarını .reg/.hiv dosyasına kaydet
RegOpenKeyW   -- Registry anahtarını aç
SHEnumKeyExA  -- Shell namespace üzerinden anahtar sayımı
-- RegSaveKeyA: nadiren görülen API → tüm alt anahtarlarla kayıt defteri dump
-- Gozi: tarayıcı şifrelerini HKCU\Software altında saklar ve dump eder
-- Dump → C2'ye gönderilir
-- SHEnumKeyExA: Shell namespace enumeration (yüklü uygulamalar tespiti)

NotifyBootConfigStatus: Önyükleme Yapılandırması

NotifyBootConfigStatus
-- Windows boot configuration bildirim API
-- "Boot config status" = BCD (Boot Configuration Data) durumu
-- Gozi: önyükleme sırasında aktif hale gelme (boot-level persistence)
-- BCD değişikliği: sistem başlarken DLL yüklenmesini sağlar
-- Yüksek kalıcılık: AV'den önce çalışır

IOC

SHA256c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
DLLatw3.dll
KalıcılıkNotifyBootConfigStatus (boot-level)

Gozi — Malware-Profil

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

Malware-Typ
Botnet
Programmiersprache
C++
C2-Protokoll
HTTP (RC4)
Zielsysteme
Avrupa/Kuresel Finansal

Fähigkeiten & Verhalten

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC-Liste (1 Indikatoren)

IOC — Gozi
# SHA256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
TypWertBemerkung
sha256 c3b6be96582dc92249e78db51d0abe50e78b63b5a4f7d0e2b6c9f1a3d6e8b1c4
Tags
goziisfbursnifatw3-dll-short-nameregsavekeya-registry-dumpnotifybootconfigstatus-boot-persistenceshenumkeyexa-shell-enumboot-level-persistence