Открываем исходный код любой страницы mosmetro.ru, в начале видим вставку Javascript кода:

Смотрим последнюю строку злополучного файла:
После выполнения данного участка на странице происходит добавление ещё одного сценария, но уже по внешней ссылке:

Которая после нескольких редиректов подбрасывает браузеру подходящий JS код эксплойта, использующий ту или иную актуальную уязвимость. Под Opera for Windows, например, самопроизвольно открывается вредоносный PDF файл, хотя интеграция PDF вьювера от Adobe Reader с браузером отключена.
Для желающих покопаться в коде, вот образец JS кода и образец PDF документа. Антивирус Касперского полученный PDF детектирует как Exploit.Win32.Pidief.cyk. Остальные антивирусные продукты почти поголовно молчат — отчет VirusTotal: http://ow.ly/X63u.

По данным DomainTools и WebHosting.info к данному хосту (размещённому, естественно в Китае) привязано ещё несколько доменов, предположительно для аналогичных целей.

P.S. Кстати, по адресу thetraf.net/tds/admin/ находится запароленный вход в админку Sutra TDS (TDS — traffic distribution system — система распределения траффика), если кто сможет дёрнуть оттуда какие-нибудь подробности.


© Habr.