Meistens über eine ActiveX-Komponente, die sich nur beim Surfen per Internet Explorer ausführen kann. Andere Browser (z.B. Opera, Firefox) führen kein ActiveX aus.
Wenn im IE wichtige Updates fehlen oder wenn der User bei Rückfragen à la "Wollen Sie Superduper-ActiveX-Komponente namens BöseSpyware ausführen?" standardmässig auf Ja klickt, erhöht sich die Gefahr natürlich erheblich.
Es ist aber leider so, dass mit steigender Beliebtheit von Opera und Firefox auch JavaScript für die Installation solcher unerwünschten Komponenten missbraucht wird. Allerdings kommen da meistens Sicherheitslücken zum Zug, die man durch regelmässige Software-Updates minimieren kann.
Mein persönliches Rezept: Ein stets gut gepatchtes Betriebssystem, stets gut gepatchte Software, Add-Ons und Plug-Ins, den Firefox als Standardbrowser und darin das NoScript-Add-On, das einem eine recht genaue Kontrolle darüber gibt, welcher Domain/Subdomain man das Ausführen von Scripts erlauben möchte.
Gaby