Os arquivos podem ser infectados na própria agência onde o site foi desenvolvido caso as máquinas da agência estejam infectadas, pode ser até mesmo um ‘vírus de pendrive’ que é muito comum hoje em dia.

O vírus é apenas um JavaScript, parece que ele da preferência a sistemas com inclusão de textos e imagens. Para nossa sorte o script não infecta usuários brasileiros.
Um outro detalhe é a detecção desse vírus, um anti-vírus não encontra por que é apenas uma chamada a um script externo, e esse script escreve um iFrame para carregar outro script, por isso o vírus não está no servidor, existe apenas uma chamada para ele que pode ser em uma imagem ou um texto que não foi tratado.

Quem trabalha com Web sabe que invadir servidores é muito mais complicado do que invadir sistemas.