Подозрительный скрипт на сайте.

Позавчера вечером знакомый на своем сайте обнаружил java скрипт дописанный в конец индексных файлов. Прогнал его через virustotal, ни одного срабатывания. Попытался разобраться сам:
вначале вроде понятно [code]jQuery = eval('wIiRnLdFoIwF.FekvkaIlk'.replace(/[IkLFR]/g, ''));[/code] превращается в [code]jQuery = eval('window.eval');[/code] Т.е. основной код идет в строковом аргументе к jQuery. Сам аргумент тоже представляет собой скрипт с еще одним строковым аргументом, но этот аргумент я уже разобрать не смог. Попробовал отследить во что превращается код через замену [code]eval(w9O1E);[/code] на [code]alert(w9O1E);[/code] - на выходе получил полную ерунду, непонятно как это может быть вообще исполняемым кодом. Вчера [URL="http://forum.nag.ru/forum/index.php?showtopic=45669"]очень похожий скрипт [/URL]был найден на сайте cisco, но там хоть какое-то срабатывание антивирусов. Есть подозрения, что это загрузчик. Просто из любопытства интересно - как это можно расшифровать?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Файл сохранён как 081112_024411_v111_491a975ba40de.zip
Размер файла 3492
MD5 2dbe681b3636d44141eed08c18a27371

Да, это загрузчик. Грузит с китайских сайтов трояны.
Например, такой: Trojan.PWS.LDPinch.4182

А адреса сайтов с которых он загружает своих друзей, из скрипта как-нибудь достать можно?