Manuel Statik Analiz — ZLoader Banking Trojan | Tehdit: 严重
文件 Kimliği
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| 文件名 | HexaPort.dll (meşru görünümlü DLL adı) |
| 大小 | 526.848 byte (514KB) |
| String Sayisi | 2.263 |
{INJECTDATA}: Web Enjeksiyon Şablon Değişkeni
WEB INJECT: Bankacılık sitesi HTML manipülasyonu!
{INJECTDATA}
-- ZLoader'ın web inject konfigürasyon şablonu
-- "{INJECTDATA}" = enjekte edilecek kötü amaçlı HTML/JS
-- Çalışma şekli:
-- 1) Tarayıcıya hook → HTTP yanıtları izleniyor
-- 2) Hedef banka: bankname.com/login → tespit edildi
-- 3) Sunucu yanıtı HTML'ine {INJECTDATA} ekleniyor
-- 4) Kurbanın gördüğü sayfa: sahte 2FA alanı eklendi
-- 5) Kurban: PIN/SMS kodu yazıyor → ZLoader C2'ye gönderiyor
-- Zeus/ZBot kökenli: 2010'dan bu yana bankaları hedef alıyor
HexaPort.dll: Meşru İsim Gizleme
HexaPort.dll -- "Hex" = hexadecimal (teknik terim) -- "Port" = ağ portu -- "HexaPort" = gerçek bir uygulama gibi ses çıkarır -- DLL enjeksiyon hedefi: tarayıcı prosesine (chrome.exe, firefox.exe) yüklenir
IOC
| SHA256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Web Inject | {INJECTDATA} şablon değişkeni |
ZLoader — 恶意软件档案
ZLoader Zeus tabanlı banking trojan. INJECTDATA web inject sablon. HexaPort.dll tarayici enjeksiyonu. Bankacılık form grab.
恶意软件类型
Backdoor
编程语言
C++
C2协议
HTTPS
目标系统
Küresel/Bankacılık
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (1 个指标)
IOC — ZLoader
# SHA256
a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | a9f2c4bc268765fc526848b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |