Mihan,
Цитата:
%windir%\System32\drivers\klif.sys
Этот файл является составным компонентом всех программных продуктов ЛК, в которые включены функции антивируса. Он (компонент) отвечает за корректное распределение ресурсов памяти, потребляемой антивирусным сканером и монитором, анализ загрузочных секторов и файловой системы на дисках компьютера, корректную распаковку в память навесной защиты в исследуемых программных файлах и т.д. Во все продукты ЛК, начиная с линейки 6-х версий, встроена функция самозащиты программы, которая заключается в закрытии доступа к компонентам антивируса и связанных с ним записям в системном реестре, дабы не дать вредоносным программам удалить/заразить/модифицировать компоненты защиты и связанные с ними ветки ключей реестра ОС. В результате, червь может осуществить данную деструкцию только в том случае, если в компьютере установлена более ранняя версия Антивируса Касперского (например, Kaspersky Anti-Virus Personal 5.0), не содержащая функционала самозащиты, или же, если современную версию антивируса устанавливал дилетант, который не удосужился включить в настройках программы функцию "Включить самозащиту". В любой из этих ситуаций вирус сможет удалить вышеуказанный файл, а спустя довольно короткое время, и записать на его место под тем же названием извлекаемый из своего тела руткит-компонент (SYS-драйвер Windows, который предполагает использование с целью сокрытия вредоносных процедур в памяти, а также сокрытия паразитного Интернет-трафика во время работы в сети).
Вредоносный klif.sys имеет размер 13717 байт (это его оригинальное значение). После записи вирус сразу загружает этот драйвер на выполнение, после чего руткит остается активным в памяти компьютера вплоть до завершения работы системы.
Если в компьютере был установлен незащищенный Антивирус Касперского, то после записи на диск компонент klif.sys предусматривает получение управления при каждой последующей загрузке ОС за счет соответствующего сервиса Антивируса Касперского, предполагающего запуск своего оригинального klif.sys на выполнение
т.е. эт драйвёр, устанавливаемый касперским для своёй работы. Но, в принципе, он могет быть заражён и вируснёй...
Прочитано тута:
http://daxa.com.ua/vir/num58/
