Многокомпонентный троянец, способный заражать как 32-разрядные, так и 64-разрядные версии ОС Windows.
Запустившись на зараженном компьютере, Trojan.Zekos сохраняет свою зашифрованную копию в системную паку C:\Windows\System32\ в виде файла со случайным именем и расширением, отключает систему защиты файлов Windows File Protection и пытается повысить собственные привилегии в операционной системе.
Затем троянец модифицирует системную библиотеку rpcss.dll, добавляя в нее вредоносный код, основное предназначение которого — загрузка в память компьютера хранящейся на диске копии троянца. После того как библиотека будет загружена в память, этот код расшифровывается и ему передается управление. Также Trojan.Zekos модифицирует драйвер протокола TCP/IP (tcpip.sys) с целью увеличения количества одновременных TCP-соединений в 1 секунду с 10 до 1000000.
Одна из функций троянца — перехват на инфицированном компьютере DNS-запросов для процессов браузеров Microsoft Internet Explorer, Mozilla Firefox, Chrome, Opera, Safari и др. Также Trojan.Zekos блокирует доступ к интернет-сайтам большинства антивирусных компаний и серверам Microsoft.
