Trojan-Downloader.Win32.Small.afa

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

Trojan-Downloader.Win32.Small.afa («Лаборатория Касперского») также известен как: Trojan.DownLoader.1338 (Doctor Web), TR/Dldr.Small.agi (H+BEDV), Downloader.Small.18.D (Grisoft), Trojan.Downloader.Small-216 (ClamAV)

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

При запуске создает на компьютере пользователя ярлыки с именами Dating.lnk, «XXX NOW.lnk», «Me Naked.lnk» и «For your eyes only.lnk» для активации своих сервисов. Иногда может выдавать собщение:

Could not start Event Logger

Имеет потенциально опасную функцию скрытного самообновления (с сервера http://epl.www2.elwisp.com/kb2.php). Информацию об обновлении, сервер выдает в закодированном виде:

 G0a3VSf1t8WhB1BXFJaN01LyJLUNdq13GIajf/
 ILnFAFPUbC68iEmz71Up5AGTbwvml
 JKo7Cm9Xi4m8XHUR1kuWATfuRZ25Tz+EsnVQJ1
 P0YM6Eiw14EnzLwuY6Z6AhxUI3H4XMoTST1z41
 qyL/zIBcGwCE5Xn6AEplraqcZ5f8w4d/
 4hbMikSAsbeycqQ== 

Периодически обновляет свой файл switchagreement.txt с адреса http://epl.www2.elwisp.com/switchagreement.txt. Файл имеет следующее содержание (выдержка; предположительно, это информация о тарификации звонков по всему миру):

 
 Price/minute from: (country)
 (Note! INTERNATIONAL CALL means 
 "International caller rate apply LIECHTENSTEIN")
 
 
 ALBANIA INTERNATIONAL CALL
 ANDORRA INTERNATIONAL CALL
 ANGOLA INTERNATIONAL CALL
 ANTIGUA & BARBUDA INTERNATIONAL CALL
 ARGENTINA INTERNATIONAL CALL
 ARMENIA INTERNATIONAL CALL
 ARRUBA INTERNATIONAL CALL
 Australia INTERNATIONAL CALL
 Austria 3.63 EUR
 AZERBAIJAN INTERNATIONAL CALL
 Bahrain INTERNATIONAL CALL
 BELARUS INTERNATIONAL CALL
 Belgium 1.12 EUR