ze strony wrcrally.xaa.pl jest przekierowanie najpierw (ukryty iframe) na jeden chiński serwer (.cn) a on poprzez nagłówki HTTP na kolejny (też .cn). Ustawiane są jeszcze ciasteczka. Najprawdopodobniej ten ostatni zaraża, albo następują jeszcze kolejne przekierowania. Ja dalej nie doszegłem - najprawdopodobniej rozpoznano, że nie używał Internet Explorera, ani nawet Windowsa. Jak drugi raz próbowałem pobrać stronę, to jej zawartość miała rozmiar 0kB - najprawdopodobniej zapamiętują adres IP i drugi raz tego samego kompa nie atakują. Zapewne po godzinie blokada powinna zostać zniesiona - tak zazwyczaj się dzieje, nie pamietają IP "na zawsze".
Antywisrus oczywiście nie rozpoznaje tej ostatniej strony, tylko którą z pośrednich, która do serwowania kolejnego iframe'u używa "zaobfuskowanego" javascriptu - to własnie ten javascript jest rozpoznawany przez AV za zagrożenie.
Proszę zachować ostrożność, jeżeli używacie Windowsów (nie mam pewności, czy ostateczny exploit atakuje IE czy Firefoxa). Użytkownikom FF polecam NoScript
.
PS: Oczywiście to nie jest wina F1WM, tylko reklam lub innych tego typu linków (wymiana bannerów). Problemem jest podlinkowany u nas wrcrally.xaa.pl, a nie f1wm.pl.