Когда я работал веб-мастером в фирме, наш сайт тоже как-то подвергся атакам этого вируса. прописался якобы счетчик. причем style="visibility: hiddеn", т.е. неопытный пользователь не поймет, чего да как, а вот сообщение антивирусника его напугает.
этот вирус сначала попадает на компьютер (!!) человека, который общается напрямую с ftp и запускает свою версию sessmgr, скачивая оттуда пароли на ftp. если пароли вбивать вручную и не сохранять (не cookies, а именно ftp-клиентовское сохранение в менеджере сессий), то вирусу не пройти на ftp. Но если пароль прописан в сохраненной адресной строке или сохранен в менеджере, вирус подключается к ftp и добавляет к файлам свой код.. как правило, заключая его в скрытый ifrаme. При наличии больших сайтов исправлять его - дело муторное. Самое интересное, даты изменения он не меняет. А ругаются на данный вирус ТОЛЬКО Kaspersky, avast! и Google Chrome при попытке редиректа. Остальные антивирусы даже глазом не моргнут.