Trojan-Downloader.Win32.Small.afa

Trojan-Downloader.Win32.Small.afa («Лаборатория Касперского») также известен как: Trojan.DownLoader.1338 (Doctor Web), TR/Dldr.Small.agi (H+BEDV), Downloader.Small.18.D (Grisoft), Trojan.Downloader.Small-216 (ClamAV)

Троянская программа, основной функционал которой — дозвон по международным телефонным номерам порно-сервисов.

При запуске создает на компьютере пользователя ярлыки с именами Dating.lnk, «XXX NOW.lnk», «Me Naked.lnk» и «For your eyes only.lnk» для активации своих сервисов. Иногда может выдавать собщение:

Could not start Event Logger

Имеет потенциально опасную функцию скрытного самообновления (с сервера http://epl.www2.elwisp.com/kb2.php). Информацию об обновлении, сервер выдает в закодированном виде:

  G0a3VSf1t8WhB1BXFJaN01LyJLUNdq13GIajf/
  ILnFAFPUbC68iEmz71Up5AGTbwvml
  JKo7Cm9Xi4m8XHUR1kuWATfuRZ25Tz+EsnVQJ1
  P0YM6Eiw14EnzLwuY6Z6AhxUI3H4XMoTST1z41
  qyL/zIBcGwCE5Xn6AEplraqcZ5f8w4d/
  4hbMikSAsbeycqQ== 

Периодически обновляет свой файл switchagreement.txt с адреса http://epl.www2.elwisp.com/switchagreement.txt. Файл имеет следующее содержание (выдержка; предположительно, это информация о тарификации звонков по всему миру):

  
  Price/minute from: (country)
  (Note! INTERNATIONAL CALL means 
  "International caller rate apply LIECHTENSTEIN")
  
  
  ALBANIA INTERNATIONAL CALL
  ANDORRA INTERNATIONAL CALL
  ANGOLA INTERNATIONAL CALL
  ANTIGUA & BARBUDA INTERNATIONAL CALL
  ARGENTINA INTERNATIONAL CALL
  ARMENIA INTERNATIONAL CALL
  ARRUBA INTERNATIONAL CALL
  Australia INTERNATIONAL CALL
  Austria 3.63 EUR
  AZERBAIJAN INTERNATIONAL CALL
  Bahrain INTERNATIONAL CALL
  BELARUS INTERNATIONAL CALL
  Belgium 1.12 EUR