Trojan-Downloader.Win32.Small.afa

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

Trojan-Downloader.Win32.Small.afa («Лаборатория Касперского») также известен как: Trojan.DownLoader.1338 (Doctor Web), TR/Dldr.Small.agi (H+BEDV), Downloader.Small.18.D (Grisoft), Trojan.Downloader.Small-216 (ClamAV)

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

При запуске создает на компьютере пользователя ярлыки с именами Dating.lnk, «XXX NOW.lnk», «Me Naked.lnk» и «For your eyes only.lnk» для активации своих сервисов. Иногда может выдавать собщение:

Could not start Event Logger

Имеет потенциально опасную функцию скрытного самообновления (с сервера http://epl.www2.elwisp.com/kb2.php). Информацию об обновлении, сервер выдает в закодированном виде:

 G0a3VSf1t8WhB1BXFJaN01LyJLUNdq13GIajf/
 ILnFAFPUbC68iEmz71Up5AGTbwvml
 JKo7Cm9Xi4m8XHUR1kuWATfuRZ25Tz+EsnVQJ1
 P0YM6Eiw14EnzLwuY6Z6AhxUI3H4XMoTST1z41
 qyL/zIBcGwCE5Xn6AEplraqcZ5f8w4d/
 4hbMikSAsbeycqQ== 

Периодически обновляет свой файл switchagreement.txt с адреса http://epl.www2.elwisp.com/switchagreement.txt. Файл имеет следующее содержание (выдержка; предположительно, это информация о тарификации звонков по всему миру):

 
 Price/minute from: (country)
 (Note! INTERNATIONAL CALL means 
 "International caller rate apply LIECHTENSTEIN")
 
 
 ALBANIA INTERNATIONAL CALL
 ANDORRA INTERNATIONAL CALL
 ANGOLA INTERNATIONAL CALL
 ANTIGUA & BARBUDA INTERNATIONAL CALL
 ARGENTINA INTERNATIONAL CALL
 ARMENIA INTERNATIONAL CALL
 ARRUBA INTERNATIONAL CALL
 Australia INTERNATIONAL CALL
 Austria 3.63 EUR
 AZERBAIJAN INTERNATIONAL CALL
 Bahrain INTERNATIONAL CALL
 BELARUS INTERNATIONAL CALL
 Belgium 1.12 EUR 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.