ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Когда-то подцепил вирус Mediket. Что он делает так и не понял, но появляется в виде каба в корне диска C. EXEшник из каба запускается.
Потом еще пару раз цеплял другие его моды. Надоело мне все это, захотел разобраться как он ко мне попадает. Вот что нашел. На каком-то сайте лежит
(как его обозвал Касперский) Trojan-downloader.JS.small.bp. Это просто яваскрипт, который в конечном итоге пишет строчку типа
bomba.chm определяется как Trojan-downloader.JS.Psyme.bi
в нем единственный файл bomba.htm, в котором находжится очень извращенный яваскрипт, одна часть которого грузит cab-архив в c:\, потом запускает через object, а другая получает имена всех подпапок из Temporary Internet files и пробует запустить другой архив из каждой.
В архиве лежит exe-шник и инф-файл, запускающий его.
Кстати, все названия файлов выглядели типа eied_s7.chm итп, я их заменил. Сайт заменил на локалхост.
====
Так вот. Поставил себе самописный сервак на делфи, открываю страницу http://localhost/launch.htm в IE. Все в порядке, через пару секунд запускается программа на делфи (окно и кнопка, по которой зацикливание).
Значит, код работает. Аналогично когда localhost заменен на ip соседнего компа сети.
Когда я поменял везде localhost на мой тест-сайт develop.hut1.ru, пытаюсь запустить все это из интернета, нифига не запускается. Кажется, дело не доходит до chm-файла.
Может, кто-то увидит, из-за чего?
Код все таки интересный. Заходишь на сайт и тебе сразу троян. И каспер уже не палит.

Архив с этой байдой КАЧАТЬ ТУТ
PS: Использовался cabarc.exe, блокнот, IE, htm2chm, Delphi и может что забыл.