Коли користувачі намагаються зайти на ВКонтакте та Однокласники із зараженого комп’ютера – вони бачили фальшивий сайт відповідної соціальної мережі та повідомлення, що користувача заблокували. Щоб «розблокувати» екаунт користувача фальшивий сайт пропонував увести номер телефона і підтверджуючий код, отриманий з SMS. При цьому оформлення сторінок і адреса у браузері були ідентичні справжнім. Крім того, на фальшивій сторінці було вказане справжнє ім’я користувача:

Відповідно, більшість користувачів у такій ситуації не помічають підміну – і дійсно вірять, що їх екаунт заблокували через підозру у зламі. Фахівці компанії «Доктор Веб» виявили, що виною цьому троянська програма, яка отримала назву Trojan.Zekos. При чому вона уміє заражати як 32-бітні, так і 64-бітні версії Windows. Коли Trojan.Zekos запускається на зараженому комп’ютері, він зберігає свою зашифровану копію до одного із системних каталогів у вигляді файлу з випадковим іменем і розширенням. Далі він відмикає захист Windows File Protection і намагається підвищити свої привілеї в операційній системі. Потім троянець модифікує бібліотеку rpcss.dll – додає до неї код, основне призначення якого завантажити до пам’яті комп’ютера копії троянця з жорсткого диску.

Також Trojan.Zekos модифікує драйвер протоколу TCP/IP (tcpip.sys) і збільшує кількість одночасних TCP-з’єднань з 10 до 1000000 на 1 секунду. Одна із можливостей троянця – перехоплення DNS-запитів на інфікованому комп’ютері для процесів усіх популярних браузерів. Таким чином, коли користувачі намагалися зайти до Однокласників чи ВКонтакте – браузер у відповідь на DNS-запит отримував некоректну IP-адресу. І замість бажаного сайту користувач бачив фальшиву сторінку. При цьому в адресному рядку браузера демонструється правильна адреса. Крім того, Trojan.Zekos блокує доступ до сайтів більшості антивірусних компаній та серверів Microsoft.