KBOT的功能

Web注入

为了隐藏其恶意行为，KBOT会尝试将代码注入正在运行的系统进程中，injects.ini示例如下：

远程管理

为实现对受感染计算机的远程管理，KBOT会与BC.ini文件中列出的服务器建立反向连接。

为了使用RDP协议同时创建多喝会话，KBOT会配置远程桌面服务器的设置：

1.查找在内存中加载了termserv.dll库的进程。

3.在修补过程中，在模块的内存中搜索特定的字节集，并将其替换为指定的字节。

混淆

为隐藏其恶意行为，KBOT使用了一套相当复杂的混淆工具。

加载时，主bot模块将检查是否对导入的函数进行了断点修补。如果是这样，它会将导入的DLL重新加载到内存中，将导入的函数的名称清零，并使用字符串混淆（使用RC4算法加密，解密密钥存储在结构中）。

加密的字符串被存储在特殊的结构数组中，在需要访问它们时，KBOT将使用数组中字符串结构的编号调用解密函数，解密函数示例如下：