KIS yra paprasta vykdomoji byla, kurioje slepiasi “Trojos arklys” ir branduolio modulis. Jis užkrečia kompiuterį įvykdant šią bylą, tačiau tokios bylos vykdymo teises paprastai turi kompiuterio administratoriai.
“Trojos arklys” įsidiegia sistemoje, pakeičiant vykdomąją bylą “/sbin/init”. Po kompiuterio perkrovimo “užkrėsta” “/sbin/init” įkrauna KIS modulį, o po to įvykdo tikrąją “init” bylą, perkeltą į paslėptą katalogą. Tokiu būdu KIS modulis užkraunamas pirmas.
KIS leidžia nuotolinio valdymo būdu valdyti procesus “aukos” kompiuteryje. Jis ne tik slepiasi nuo tikrojo kompiuterio šeimininko bei slepia tinklu su bylomis atliekamas operacijas, tačiau taip pat leidžia “užkrėstu” kompiuteriu atakuoti kitus tinklo vartotojus.
KIS sistemoje galima aptikti su “StMichael 0.05 Linux Kernel Module”. Norint “išgydytį” kompiuterį, reikia pakeisti “init” bylą į tuščią, arba neužkrėstą, kuri slypi paslėptame kataloge (jame yra dvi “init” bylos – tikroji ir “Trojos arklio” kopija).