Estamos recibiendo una gran cantidad de solicitudes de IE9 para / scanImageUrl

Todas las solicitudes provienen de Internet Explorer 9 con el modo de compatibilidad activado. Sabemos que el modo de compatibilidad está activado, debido al atributo tridente que se envía en la cadena de agente de usuario.

Esto acaba de comenzar recientemente. (28/03 alrededor de las 6 a.m.)

Estos son usuarios legítimos, no bots, lo hemos determinado y no podemos reproducir el problema.

Aquí hay un nuevo resultado de búsqueda de Google, y parece que otros están teniendo el mismo problema.

Uno de mis compañeros de trabajo comenzó a mostrar los síntomas (solicitudes aleatorias para http://www.vistaprint.com/scanImageUrl de IE8), así que entré en su computadora para descubrir qué estaba causando el problema.

El problema parece deberse a un complemento de malware de IE llamado Yontoo v2.051. Dudo que alguien instale el software intencionalmente, pero, entre otros instaladores, se incluye con "EZ Fonts" ( http://downloadfreely.com/start/?p=EZ-Fonts ). Deshabilitar ambas partes del complemento desde IE detiene el problema.

En una nueva instalación en EC2, el problema parecía provenir de "Surf Canyon" v5.0.1. Deshabilitar Yontoo v2.052 no solucionó el problema, pero deshabilitar Surf Canyon sí. Además de las solicitudes de scanImageUrl, Surf Canyon incluso provoca redireccionamientos aleatorios a URL con formato incorrecto.