Многокомпонентный троянец, способный заражать как 32-разрядные, так и 64-разрядные версии ОС Windows.

Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в системную паку C:WindowsSystem32 в виде файла со случайным именем и расширением, отключает систему защиты файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе.

Затем троянец модифицирует системную библиотеку rpcss.dll, добавляя в нее вредоносный код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. После того как библиотека будет загружена в память, этот код расшифровывается и ему передается управление. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.

Одна из функций троянца — перехват на инфицированном компьютере DNS-запросов для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Также Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.