Pan Paul Ducklin z laboratorium firmy Sophos poinformował o stronie rekordzistce, która posiadała 22 wersje infekującego kodu JavaScript. Najprawdopodobniej po przechwyceniu hasła do konta i wykorzystaniu protokołu FTP, 22 napastników dodało swój kod przekierowujący użytkownika na atakującą stronę. W większości przypadków złośliwe oprogramowanie dodaje w komentarzach unikalny kod, po którym rozpoznaje czy strona już posiada złowrogie linie kodu. Zapobiega to wielokrotnemu dodawaniu takiego kodu przez tę samą grupę trojanów. Niestety z uwagi na fakt, że w większości przypadków kod taki jest zamaskowany, ciemna strona mocy nie usuwa poprzedniego znajdującego się już wpisu w kodzie strony. Z tego co pamiętam to zazwyczaj trojany te dodawały kod na końcu strony (czasami na początku) przed tagiem /BODY. Myślę, że nowe wersje zaczną starać się dodawać o kilka linijek kodu wcześniej lub właśnie zaraz po rozpoczynającym tagu BODY. Metoda ta wydaje się być bardziej optymalną przy walce z konkurencją. Jak pisze Ducklin używanie zaciemniania kodu z użyciem JavaScript jest także wykorzystywane przez webdeweloperów zarządzających stronami WWW i jak podkreśla Ducklin taka metodologia jedynie utrudnia wykrywanie zainfekowanych stron, gdyż legalne strony zostają oznaczone jako złośliwe. Samo zaciemnienie jest jedynie utrudnieniem przed podglądem, a nie sposobem na całkowite ukrycie kodu i dlatego sugeruje aby nie korzystać z tego typu mechanizmów na swoich stronach.
Źródło: http://www.heise-online.pl/security/Trzymajcie-sie-z-dala-od-pakerow-JavaScriptu–/news/8415