Тут знакомые поделились кое-какой новой инфой о распространении подобного вируса на их системе. Действительно, заражаются файлы .htaccess, что заставляет сервер отдавать заражённые страницы именно мобильным устройствам, Android, iPhone итд итп. Это затрудняет обнаружение антивирусом на компьютере. Но интересно другое: заражение производилось путём редактирования файлов .htaccess через PHP веб-шелл -- программу, которую злоумышленники незаметно закачали в папку картинок одного из сайтов через FTP аккаунт, который был заведён в системе, но не использовался и о котором все забыли. Где взяли пароль FTP, непонятно, возможно подбором. Редактировали .htaccess они вручную для каждого сайта! Недоделанные/неполноценные сайты не тронули! А обнаружен этот левый PHP файл был через логи FTP сервера.
Так что надо админам поискать веб-шелл. Можно хоть 100 раз менять пароли FTP и восстанавливать заражённые файлы: пока на сервере живет веб-шелл, всё будет повторяться бесконечно. Либо вообще отключить FTP и пользоваться SSH/SCP как это делаю я.
