Троянская программа.
После запуска троянец посылает следующий HTTP-запрос:
Результатом этого запроса является страница, содержащая текст следующего скрипта JavаScript, который будет выполнен сразу же после выполнения запроса:
В этом скрипте происходит получение содержимого веб-страницы, генерируемой скриптом cs.php по адресу http://www.ne***.com/deliver/cs.php через 99 секунд после выполнения предыдущего скрипта. На этой странице размещено два других скрипта. В первом происходит анализ размера окна браузера, и если оно больше или равно 300 пикселям, то происходит перенаправление на сайт http://www.ne***.com. В противном случае выполняется скрипт, посылающий поисковый запрос на один из следующих поисковиков:
При каждом вызове скрипта cs.php для поискового запроса генерируется новое слово. Новый вызов повторяется через определенный промежуток времени для следующего слова поиска.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках