Le SANS prévient d’un vague d’infections menée sur des milliers de sites web compromis durant le week-end, qui exploiterait une vulnérabilité zero-day du navigateur Internet Explorer.

Le composant vulnérable serait à chercher du côté de Microsoft DirectShow (msVidCtl) et concernerait Windows 2000, XP et 2003 Server (aucune mention de Vista à l’heure actuelle).

Très classiquement, l’attaque du moment installe un keylogger sur les ordinateurs détournés, et les force à rejoindre un botnet. D’après un test sur la plate-forme VirusTotal, seul Antivir 7.9, McAfee GW Edition 6.8 et Virus Buster 4.6 détectent (de manière générique) le shellcode associé à cette attaque.

En attendant un correctif il est possible de se protéger contre ces infections en plaçant le kill bit sur la DLL incriminée, à l’aide de la clé de registre suivante :

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ ActiveX Compatibility \ (0955AC62-BF2E-4CBA-A2B9-A63F772D46CF)

« Compatibility Flags » = dword: 00000400