In Wahrheit nistet sich der Trojaner als Rootkit in das System ein, sobald er ausgeführt wird, und lädt weiteren Schadcode aus dem Internet.
Dieser Schadcode modifiziert unter anderem die DNS-Einstellungen des Systems. Nach einem Klick auf ein Suchergebnis erscheinen Seiten, die nichts mit der ursprünglichen Suche zu tun haben, sondern Pay-per-Click-Angebote enthalten - oder ihrerseits weitere Schädlinge auf das System bringen.
Eine zweite Datei intalliert eine Casino-Anwendung auf dem PC oder, offenbar nach dem Zufallsprinzip, den schon bekannten Trojaner Ruins.MB, der seinerseits Schädlinge nachlädt.
Anweder werden nachdrücklich vor der Installation von Zcodec gewarnt - noch erkennen nicht alle Antiviren-Produkte den Schädling.