¡Ostras, Pedrín!, acabo de darme cuenta de que, para variar, me he complicado más de la cuenta. Dices que el código malicioso siempre va tras la etiqueta <body>, cuando esta etiqueta carece de argumentos. Confirmame, por favor: ¿lo único que hay en esa misma línea es la etiqueta <body>, y después el código malicioso, absolutamente nada más? En caso afirmativo, es muchísimo más simple: borra todo lo que vaya después de <body>.
Es decir, sustituye esto:
Por esto:
¡Fa-ci-lí-si-mo!