Сегодня Аваст словил
HTML:IFrame-FS [Trj] - не знаю что это, но точно что-то нехорошее.
По инфе с unasoft.com.ua:
Цитата:
Деструктивная активность
После открытия зараженной страницы троянец расшифровывает и запускает на выполнение вредоносные JS скрипты. В результате троянец производит внедрение в текущую HTML страницу два скрытых фрейма, при загрузке которых происходит обращение к интернет ресурсам расположенным по следующим ссылкам:
http://ru***.info/forum/index.php
http://***termediagroup.com/ts/in.cgi?reyden
При открытии первого URL, осуществляется перенаправление на ресурс:
http://ru***.info/forum/load.php?spl=mdac
с которого, во временный каталог текущего пользователя Windows загружается файл с именем:
%Temp%\winZSRyU7CpTw6D.exe
Данный файл имеет размер 20128 байт и детектируется Антивирусом Касперского как Trojan.Win32.SubSys.dr.
После выполнения скрытого обращения к интернет ресурсу:
http://***termediagroup.com/ts/in.cgi?reyden
происходит перенаправление и открытие в браузере пользователя файла скрипта "robo.php", который находится по ссылке:
http://***sm-movies.info/robo.php
|
Походу обычный скрипт для накрутки чего-то за ваш счёт.