Mensaje recibido:
El enlace descarga un archivo ejecutable cuyo nombre original es cerdin.exe, al parecer este programa al ser ejecutado crea otro llamado update1.exe en la carpeta c:\windows\ y agrega una entrada en el registro, para ejecutarse cada vez que se inicie el equipo.
Aparte de eso, interfiere de alguna forma con paginas de algunos bancos, que se pueden ver entre las lineas del codigo:
Esto lo hace probablemente modificando el archivo HOSTS.
El servidor vulnerado tiene Joomla instalado, un conocido sistema para manejo de contenidos, pero por lo que he visto, no mucha gente sabe configurarlo bien, la mayoria de correos de este tipo que me llegan alojan sus programas en sitios que tambien usaban Joomla.
Actualicen su software, para parchar todos esos huecos de seguridad que hayan sido encontrados.