>var vida="";
>var vidb="";
>var vidc="";
>var vidd="";
>var stat=0;
>zbak();
>setTimeout('MyBoxEs("");',1000);
>start("");  и т.д. — несколько килобайтов кода, который, по идее, помечает друзей на фото. 

Все бы хорошо, да вот функция «zbak();» имеет достаточно интересное содержание, а именно: создает пустую картинку, которая нигде не будет отображаться, затем эта функция получает «cookie», которые использует ваш веб-браузер для идентификации вас в сети «ВКонтакте» (в противном случае при открытии каждой последующей страницы данной сети вам пришлось бы вводить свой логин и пароль). Ну а дальше все просто — для того чтобы отрисовать какую-либо картинку, веб-браузер должен знать, где ее взять. Другими словами, браузер при выполнении запроса на загрузку картинки передает ваши идентификационные данные некому PHP-скрипту «s.php» на сайте «vkontakte-*****.ru», а этот скрипт, в свою очередь, может автоматически делать с ними, что угодно. Например, просто отправлять на почту злоумышленнику, или сохранять в свою базу данных для будущего использования, или автоматически менять логин и пароль для доступа к вашей странице в сети «ВКонтакте», а за новый логин и пароль попросить отправить SMS на определенный номер, или… В общем, на что фантазии хватит и с помощью чего можно заработать побольше денег. Мораль сей басни такова — будьте предельно бдительными при пользовании современными сервисами «Web 2.0», особенно при использовании сторонних утилит, которые якобы должны облегчить вам жизнь! А тем, кто уже успел воспользоваться сомнительными удобствами данной утилиты, советую поскорей удалить со своей страницы данный скрипт и обязательно поменять логин и пароль для доступа к сервису «ВКонтакте».