KBOT的功能
Web注入
爲了隱藏其惡意行爲,KBOT會嘗試將代碼注入正在運行的系統進程中,injects.ini示例如下:
遠程管理
爲實現對受感染計算機的遠程管理,KBOT會與BC.ini文件中列出的服務器建立反向連接。
爲了使用RDP協議同時創建多喝會話,KBOT會配置遠程桌面服務器的設置:
1.查找在內存中加載了termserv.dll庫的進程。
3.在修補過程中,在模塊的內存中搜索特定的字節集,並將其替換爲指定的字節。
混淆
爲隱藏其惡意行爲,KBOT使用了一套相當複雜的混淆工具。
加載時,主bot模塊將檢查是否對導入的函數進行了斷點修補。如果是這樣,它會將導入的DLL重新加載到內存中,將導入的函數的名稱清零,並使用字符串混淆(使用RC4算法加密,解密密鑰存儲在結構中)。
加密的字符串被存儲在特殊的結構數組中,在需要訪問它們時,KBOT將使用數組中字符串結構的編號調用解密函數,解密函數示例如下: