Neben dem Script, welches dann schlussendlich den Viagraspamcode ausgibt (siehe neulich), werden noch weitere Scripte in die PHP-Dateien injiziert, diese fungieren dann als Backdoor, um beliebigen (php) Code auszuführen.

Damit das klappt, muss der Code quasi "auf Zuruf" ausgeführt werden. Eine Version, die ich gefunden habe, arbeitet mit eval(); in Verbindung mit base64_decode();, eine andere in Verbindung mit gzinflate(); und noch eine mittels str_rot13();.

Die, die mir am meisten Kopfzerbrechen machte, arbeitet mit preg_replace();, in Verwendung mit dem (bösen!) "e"-Modifier  - d.h. das Ergebnis der Ersetzung wird direkt ausgeführt. Ersetze also irgendeinen String mit einem Funktionsaufruf und *bam* - Code ...