kodlarda adresi yazılı siteden saf.exe dosyasını cekip bilgisayarına lsass.exe ismiyle kaydediyor.Muhtemelen C: dizininin altına en son olarakta çalıştırmayı deniyor. exe dosyasının içeriğinin ne olduğu tabiki belli değil.Ayrıca yukarıdaki kodların php ile alakası yoktur.Gecerli/bilinen uzantı olan herhangi bir sayfada çalışırlar (asp,aspx,jsp,php vb...)

Edit : Class id ye bakarak söyleceklerim ; internet explorer la sayfaya girildiğinde eğer işlemci yükü %5 in üzerindeyse javascript komutunu çalıştır şeklinde düzenlenmiş.Bir nevi sp2 de popup açan kodun yandan yemişi gibi bişi Fark olarak bu popup açmıyor.