Depuis le mois de Juillet, pas une semaine ne se passe ou presque sans que nous ayons droit à une "mutation" du virus Zhelatin / Storm (voir la précédente). La dernière en date se présente sous la forme d'un courriel vous annonçant la bonne inscription à un service en ligne (salons de discussion, recherche d'emplois, site MP3, etc.) :

Bien sur, quand on clique le lien, on tombe invariablement sur une page Web piégée (Javascript cherchant à exploiter un dépassement de tampon pour faire télécharger un dropper (C:\U.exe), peut-être en rapport avec une faille Windows Media Player, mais le fichier malicieux semble souvent absent), et une proposition de télécharger, cette fois-ci, votre "applet de connexion sécurisée" :

Bien sur c'est un malware, et au moment de la rédaction de ce billet, le binaire proposé n'est détecté que par 6 solutions antivirales sur 15 testées (et le dropper par 2 d'entre elles) : Comme d'habitude (et c'est une lapalissade), il ne faut pas suivre ce type de sollicitations ...

** Mise à jour **
La vulnérabilité utilisé par le ver est la Réf Lexsi (Ref. Lexsi 6652) : "Microsoft Media Player Plug-in with Non-Microsoft Internet Browsers Code Execution Vulnerability (MS06-006) "