Злоумышленники активно эксплуатируют уязвимость в Internet explorer, которая была устранена в этом месяце компанией Microsoft. Уязвимость существует из-за некорректной обработки ошибок при попытке доступа к удаленным объектам. Удачная эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код на системе пользователя.

По данным Trend Micro, атаки начались с отправки email сообщений, содержащих .doc файл, определяемый как XML_DLOADR.A. Это файл содержит ActiveX объект, который автоматически запрашивает подключение к злонамеренному сайту, содержащему специально сформированный HTML код, определяемый как HTML_DLOADER.AS.

HTML_DLOADER.AS эксплуатирует уязвимость CVE-2009-0075. После попадания на систему пользователя, эксплоит скачивает и устанавливает бекдор BKDR_AGENT.XZMS, который передает некоторые данные с системы пользователя на сервер злоумышленника по протоколу HTTPS.