Możliwe, że szkodnik wykrywa czy użytkownik wszedł na stronę (to konkretny adres przecież) i czy wystarczająco długo tam był...a może poprzez jakiś zainstalowany skrypt śledzi czy strona jest przewijana w trakcie czytania? Szukałem jakiś informacji, ale nie widzę konkretów w tej sprawie....może trzeba spróbować dać się zainfekować? 
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"