Manuel Statik Analiz — Gozi/ISFB Banking Trojan | Tehdit: KRITIK

파일 Kimliği

SHA256c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2
파일 이름atw3.dll
크기467.968 byte
String Sayisi776 (yoğun sıkıştırma)

C2 Config Fragmenti

252C2U2e2r2  -- Gozi şifreli C2 config fragmenti

Gozi/ISFB Hakkında

Gozi (ISFB/Ursnif), 2006'dan beri aktif olan en köklü bankacılık trojanlarından biridir. Mevduat ele geçirme (web injection), keylogging, form grabbing yetenekleri vardır. 2010'da kaynak kodu sızdırılarak birçok varyant türetilmiştir (GozNym, Vawtrak, IAP). Avrupalı bankacılık kurumlarını özellikle hedef alır. İtalyan savcılar 2023'te geliştiricilerini suçlamıştır.

IOC

SHA256c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2
크기467KB DLL (yoğun pack)

Gozi — 악성코드 프로필

Gozi ISFB Ursnif banking trojan. RegSaveKeyA registry dump. NotifyBootConfigStatus boot persistence.

악성코드 유형
Botnet
프로그래밍 언어
C++
C2 프로토콜
HTTP (RC4)
대상 시스템
Avrupa/Kuresel Finansal

기능 및 동작

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC 목록 (1 개 지표)

IOC — Gozi
# SHA256 c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2
유형메모
sha256 c3b6be96582dc9223f9bcc09405b587d736d6dc451e8a2b5c1f4d7e0a3b6c9f2
태그
goziursnifdllpackedbanking-trojanatw3-dllc2-config