Comme indiqué dans notre fiche de vulnérabilités Ref. Lexsi 7507 à propos de la faille de sécurité liée au contrôle ActiveX "daxctle.ocx" (MS06-067) et exploitable par Internet Explorer, le code d'exploitation publié permettant d'exécuter du code arbitraire est de plus en plus utilisé. Voici une illustration du code source incriminé que l'on peut retrouver actuellement sur plusieurs sites Web malveillants ou compromis :

Le code d'exploitation a été développé par le groupe de pirates chinois bien connu, xsec.org.
Ce code Javascript, une fois décodé, révèle l'adresse à partir de laquelle est chargé le "malware" normalement automatiquement exécuté par le biais de la faille de sécurité :

Quand au "malware" en question, nommé ici "price.exe" et dont la nature et le nom varie d'un site à un autre, il est actuellement détecté par un petit nombre d'éditeurs antivirus sous les noms suivants :

• [AntiVir] TR/PSW.PdPinch.101376.1,
• [BitDefender] Trojan.PSW.PdPinch.D,
• [CAT-QuickHeal] Suspicious,
• [eSafe] suspicious Trojan/Worm,
• [Fortinet] suspicious,
• [Kaspersky] Trojan-PSW.Win32.PdPinch.gen,
• [Panda] Suspicious file.

Vigilance donc, et pensez à intégrer le correctif dans vos prochaines mises à jours.
Analyse technique effectuée par Florent MARCEAU.