Trojan-Downloader.Win32.Small.afa

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

Trojan-Downloader.Win32.Small.afa («Лаборатория Касперского») также известен как: Trojan.DownLoader.1338 (Doctor Web), TR/Dldr.Small.agi (H+BEDV), Downloader.Small.18.D (Grisoft), Trojan.Downloader.Small-216 (ClamAV)

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

При запуске создает на компьютере пользователя ярлыки с именами Dating.lnk, «XXX NOW.lnk», «Me Naked.lnk» и «For your eyes only.lnk» для активации своих сервисов. Иногда может выдавать собщение:

Could not start Event Logger

Имеет потенциально опасную функцию скрытного самообновления (с сервера http://epl.www2.elwisp.com/kb2.php). Информацию об обновлении, сервер выдает в закодированном виде:

G0a3VSf1t8WhB1BXFJaN01LyJLUNdq13GIajf/
ILnFAFPUbC68iEmz71Up5AGTbwvml
JKo7Cm9Xi4m8XHUR1kuWATfuRZ25Tz+EsnVQJ1
P0YM6Eiw14EnzLwuY6Z6AhxUI3H4XMoTST1z41
qyL/zIBcGwCE5Xn6AEplraqcZ5f8w4d/
4hbMikSAsbeycqQ== 

Периодически обновляет свой файл switchagreement.txt с адреса http://epl.www2.elwisp.com/switchagreement.txt. Файл имеет следующее содержание (выдержка; предположительно, это информация о тарификации звонков по всему миру):


Price/minute from: (country)
(Note! INTERNATIONAL CALL means 
"International caller rate apply LIECHTENSTEIN")


ALBANIA INTERNATIONAL CALL
ANDORRA INTERNATIONAL CALL
ANGOLA INTERNATIONAL CALL
ANTIGUA & BARBUDA INTERNATIONAL CALL
ARGENTINA INTERNATIONAL CALL
ARMENIA INTERNATIONAL CALL
ARRUBA INTERNATIONAL CALL
Australia INTERNATIONAL CALL
Austria 3.63 EUR
AZERBAIJAN INTERNATIONAL CALL
Bahrain INTERNATIONAL CALL
BELARUS INTERNATIONAL CALL
Belgium 1.12 EUR