http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040819/148790/
わぉ！！

　今回のセキュリティ・ホールは，IEがドラッグ・アンド・ドロップなどの操作で発生するDHTML（ダイナミックHTML）のイベントをきちんと検証しないことが原因。このため，細工が施されたWebサイト上で，ドラッグ・アンド・ドロップやクリックといったマウス操作をすると，ユーザーに警告することなく，任意のファイルがパソコンにダウンロードされる。このとき，ダウンロード先は攻撃者が指定できるので，スタートアップ・フォルダにダウンロードさせることも可能である。

素敵。。。
対策はやっぱりアクティブスクリプトの停止だそうだ。。。