{
	"id": "2109a50e-be39-46f2-a1f2-f8bdfeaefc38",
	"created_at": "2026-04-06T00:08:21.355541Z",
	"updated_at": "2026-04-10T13:11:55.624953Z",
	"deleted_at": null,
	"sha1_hash": "910f7f8776adf51999ad0fd04067b84b7c2f1cd1",
	"title": "malware/windows/gozi-isfb at master · gbrindisi/malware",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 53979,
	"plain_text": "malware/windows/gozi-isfb at master · gbrindisi/malware\r\nBy gbrindisi\r\nArchived: 2026-04-05 15:09:24 UTC\r\nISFB - программа-бот предназначенная для анализа и модификации HTTP траффика на компьютере\r\nПоддерживает все 32х и 64х битные Windows, начиная с Windows XP.\r\nПоддерживает все 32х и 64х битные версии Internet Explorer, начиная с 6.0.\r\nПоддерживает все 32х и 64х битные версии Mozilla Firefox.\r\nПОддерживает все 32х битные версии Google Chrome.\r\nПрограмма способна устанавливаться и работать без привелегий администратора.\r\nОбрабатывает весь HTTP траффик браузера в том числе и шифрованый HTTPS.\r\nБот управляется с удаленного сервера, с помощью файлов конфигурации и команд.\r\nФайлы конфигурации и команд подписываются посредством RSA. При получении файлов, бот про\r\n и, в случае несоответвия подписи, файл игнорируется.\r\nПри первом запуске бот инициирует таймер. В дальнейшем, по таймеру, бот обращается на упра\r\nПоддерживается 2 способа поиска управляющего сервера:\r\n- перебор заданного списка доменных имен и выбор активного;\r\n- генерациия динамического списка доменных имен в зависимости от текущей даты и конфигурац\r\nАнализ траффика производится на основе специально сформированного файла конфигурации, ко\r\nТакой файл может содержать следующие инструкции:\r\n- подмена HTML страницы целиком\r\n- замена фрагмента HTML страницы\r\n- скопировать фрагмент страницы и отправить на сервер\r\n- найти файл по маске и оправить на сервер\r\n- сделать скриншот экрана и отправить на сервер\r\nКроме файла конфигурации бот получает с сервера команды:\r\nGET_CERTS - экспортировать и выслать сертификаты, установленные в системном хранилище\r\nДля XP выгружает, также, неэкспортируемые сертификаты.\r\nGET_COOKIES - собрать cookie FF и IE, SOL-файлы Flash, упаковать их с сохранением структуры\r\nкаталогов и выслать на сервер.\r\nCLR_COOKIES - удалить cookie FF и IE, SOL-файлы Flash.\r\nGET_SYSINFO - собрать системную информацию: тип процессора, версию ОС, список процессо\r\nдрайверов, список установленных программ.\r\nKILL - убить ОС (работает только с правами администратора)\r\nREBOOT - перезагрузить ОС\r\nGROUP=n - сменить ID группы бота на n\r\nhttps://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb\r\nPage 1 of 5\n\nLOAD_EXE=URL - загрузить файл с указанного URL и запустить его\r\nLOAD_REG_EXE=URL- загрузить файл с указанного URL, зарегистрировать его в autirun и запустить\r\nLOAD_UPDATE=URL - загрузить апдейт программы и запустить\r\nGET_LOG - отправить внутренний лог на сервер\r\nGET_FILES=* - найти все файлы, соответствующие заданной маске, и отправить на сервер\r\nSLEEP=n - остановить обработку очереди команд на n миллисекунд. (используется при дол\r\nSEND_ALL - отправить все данные из очереди на отправку немедленно. В противном случае\r\nпо таймеру.\r\nLOAD_DLL=URL[,URL] - загрузить по указанному URL DLL и инжектить её в процесс explorer.exe.\r\nпервый URL для 32х-битной DLL, второй - для 64х-битной.\r\nSOCKS_START=IP:PORT - запустить сокс4\\5 сервер (при его наличии)\r\nSOCKS_STOP - остановить сокс4\\5 сервер\r\nGET_KEYLOG - отправить данные кейлоггера (при его наличии)\r\nGET_MAIL - активировать граббер E-Mail (при наличии) и отправить, полученные от него, д\r\nGET_FTP - активировать граббер FTP (при наличии) и отправить, полученные от него, данн\r\nSELF_DELETE - удалить софт из системы, включая все файлы и ключи реестра\r\nURL_BLOCK=URL - заблокировать доступ ко всем URL удовлетворяющим заданной маске\r\nURL_UNBLOCK=URL - разблокировать доступ к URL, удовлетворяющим заданной маске, ранее заблоки\r\nFORMS_ON - включить граббер HTTP форм (если есть дефайн _ALWAYS_HTTPS, то граббе\r\nFORMS_OFF - отключить граббер HTTP форм\r\nKEYLOG_ON[= list] - включить кейлог, для заданного списка процессов\r\nKEYLOG_OFF - отключить кейлог\r\nLOAD_INI=URL - загрузить упакованный INI-файл с указанного URL, сохранить его в рееестре и и\r\nприкреплённого к софту с помощью билдера. INI-файл до\r\nLOAD_REG_DLL = name, URL[,URL] - загрузить DLL по указанному URL, сохранить её под заданным име\r\nавтоматической загрузки после каждого запуска системы\r\nUNREG_DLL = name - удалить из автоматической загрузки DLL c заданным именем\r\nТехнические детали\r\nДропер - программа установки.\r\nДропер представляет собой исполняемый файл Windows (PE32). В файле, в виде бинарного ресурс\r\nдве упакованые DLL: 32х битный и 64х-битный бот.\r\nПри старте дропер распаковывает DLL и регистрирует их для автозапуска.\r\nDLL распаковываются и регистрируются таким образом, чтобы иметь возможность выполняться пр\r\n как при администраторе, так и при пользователе.\r\nDLL - бот.\r\nБот представляет собой динамически загружаемую библиотеку (DLL). Для каждой архитектуры соб\r\nDLL-бот загружается во все запускаемые процессы.\r\nБот состоит из 2х логических компонентов: парсер и сервер. Парсер активируется в контексте пр\r\nСервер активируется в контексте процесса оболочки (как правило explorer.exe).\r\nhttps://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb\r\nPage 2 of 5\n\nПарсер выполняет следующие функции:\r\n- отправка/получение данных (получение команд, конфигов; отправка форм, файлов)\r\n- непосредственный перехват, анализ, и модификация HTTP траффика\r\nСервер (в контексте explorer.exe) выполняет:\r\n- файловые операции (поиск, создание и удаление файлов)\r\n- запуск программ, обновление\r\n- системные функции (перезагрузка, блокировка ОС)\r\nТаким образом, все операции, требующие привелегий, выполняются сервером в контексте explor\r\nа все операции с сетью исключительно из браузера.\r\nСборка и настройка\r\nПроект собирается при помощи Microsoft Visual Studio 2005, либо более поздней версии.\r\nВ проект интегрирован криптор, который используется по-умолчанию.\r\nВ результате сборки и криптовки получаются следующие файлы:\r\nRelease\\crm_p.exe\r\nRelease\\client_p.dll\r\nx64\\Release\\client_p.dll\r\nэто упакованные и криптованые версии бота и дропера, причем дропер (файл crm_p.exe) содержи\r\nНекриптованные версии бота лежат там же:\r\nRelease\\crm.exe\r\nRelease\\client.dll\r\nx64\\Release\\client.dll\r\nКроме бота, проект включает в себя:\r\nRelease\\dname.exe - утилита для генерации псевдо-случайных доменных имен;\r\nRelease\\rsakey.exe - утилита для подписывания файлов команд и конфига;\r\nconfig.exe - программа конфигуратор.\r\nОсновные настройки программы находятся в файлах id.h и config.h.\r\nid.h содержит номер группы бота.\r\nconfig.h содержит такие параметры как: список управляющих серверов, названия URL-ов для полу\r\n и для отсылки данных, а также различные ключи и параметры влияющие на настройку программ\r\n \r\nСборка с билдером\r\nСуществует возможность собрать ISFB так, чтобы в дальнейшем прикреплять к DLL ключи и файлы\r\n не пересобирая проект.\r\n1. Собрать ISFB в конфигурации Release(Builder) под x86 и x64.\r\n2. Отредактировать файлы: \\public.key и \\client.ini, содержащие RSA-ключ и настройки програм\r\n3. В консольном окне выполнить build.bat из папки \\Builder\r\nhttps://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb\r\nPage 3 of 5\n\n4. Забрать готовый installer.exe из папки \\Builder\\Release\r\nБатник build.bat запускает билдер, который прикрепляет к каджой DLL (для х86 и х64) файлы:\r\n public.key и client.ini.\r\nВ последствии обе DLL прикрепляются к инсталлеру.\r\nГотовый инсталлер сохраняется в файл \\Release\\install.exe\r\nСборка с BK\r\nСуществует возможность собрать ISFB вместе BK в один исполняемый файл-установщик, так, чтоб\r\n ошибки при установке BK, устанофщик извлекал DLL и устанавливал их отдельно.\r\nПримечание: папка, содержащая солюшен с BK2 должена находиться в той же директории, что и\r\n1. Собрать BK в конфигурации Release под х86 и х64.\r\n2. Собрать ISFB в конфигурации Release(Builder) под x86 и x64.\r\n3. Отредактировать файлы: \\public.key и \\client.ini.\r\n4. В консольном окне запустить bkbuild.bat из папки \\Builder\r\n5. Забрать собраный bksetup.exe, содержащий BK, ISFB-DLL и ISFB-инсталлер, из \\Builder\\Release\r\nРабота в режиме инжекта из памяти\r\nДля работы в режиме инжекта из памяти необходимо установить значение флага _INJECT_AS_IMAGE\r\n TRUE, и пересобрать проект. В этом случае инсталлер не создает DLL на диске, а копирует себя\r\n и регистрируется в Windows AutoRun.\r\nПри запуске инсталлер инжектит образ DLL, соответствующей архитектуры, в Explorer.exe, откуда\r\n сооответствующий образ DLL инектится во все пораждаемые процессы, разных архитектур.\r\nПлагины\r\nISFB поддерживает плагины: специально собраные, DLL, экпортирующие функцию PluginRegisterCa\r\n внутренние функции софта (например, функции отправки данных).\r\nДля загрузки плагина используется команда:\r\n LOAD_PLUGIN=URL[,URL] - где первый URL для 32х-битной версии DLL, второй - 64x-битной.\r\nСофт скачивает DLL соответствующей архитектуры и инжектит её в explorer.exe, затем вызывается\r\n PluginRegisterCallbacks, в которую передаётся указатель на список коллбэков (функций), реализ\r\n внутри софта, которые может использовать плагин.\r\nОписание структур и прототипов функций для создания плагинов находится в файле \\common\\plugi\r\nСостав проекта\r\n\\AcDLL - библиотека инжектов. Реализует механизм инжекта DLL во все пораждаемые процессы,\r\nПоддерживает два режима работы: инжект, непосредственно DLL и инжект образа DLL из\r\n\\ApDepack - библиотека на основе APLIB, релизующая функции распаковки.\r\nhttps://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb\r\nPage 4 of 5\n\n\\BcClient - библиотека клиента для бэкконект сервера.\r\n\\Client - основная DLL приложения\r\n\\Common - библоиотека, реализующая общие функции, используемые в разных частях проекта. Та\r\nоперации с потоками данных, со строками, с XML, хуки и т.п.\r\n\\Crypto - библиотека криптографических функций. Реализует следующие алгоритмы: CRC32, BASE64\r\nИспользуется для подписи конфиг-файлов и файлов команд, а также, для саршифровки и\r\n\\Dname - программа генерации доменных имён на основе номера группы софта и текущей даты.\r\n\\Ftp - библиотека FTP-грабберов.\r\n\\Handle - библиотека, реализующая хэш таблицу. Используется для привязки хэндлов HTTP запрос\r\nТакже, используется кейлоггером, для группировки клавиатурных логов по PID-ам и HWND\r\n\\IM - DLL-плагин, реализующая граббер Instant Messangers.\r\n\\Install - программа-установщик ISFB.\r\n\\KeyLog - библиотека кейлоггер.\r\n\\Mail - библиотека E-mail грабберов.\r\n\\RsaKey - программа для шифрования и цифровой подписи конфиг-файлов и файлов команд.\r\n\\SocksLib - библиотека, реализующая SOCKS4\\5-сервер.\r\n\\Sqlite3 - библиотека для работы с БД SQLLite. Используется IM-грабберами.\r\n\\ZConv - программа-конвертер конфигов Zeus в конфиг-файлы ISFB.\r\nSource: https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb\r\nhttps://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"ETDA",
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://github.com/gbrindisi/malware/tree/master/windows/gozi-isfb"
	],
	"report_names": [
		"gozi-isfb"
	],
	"threat_actors": [],
	"ts_created_at": 1775434101,
	"ts_updated_at": 1775826715,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/910f7f8776adf51999ad0fd04067b84b7c2f1cd1.pdf",
		"text": "https://archive.orkl.eu/910f7f8776adf51999ad0fd04067b84b7c2f1cd1.txt",
		"img": "https://archive.orkl.eu/910f7f8776adf51999ad0fd04067b84b7c2f1cd1.jpg"
	}
}