Специалисты антивирусной лаборатории Microsoft выявили новую вредоносную программу, использующую достаточно нетривиальный подход к обфускации опасного кода. Циркулирует зараза внутри скандально известного форума 4Chan.

Вирус распространяется как графический файл формата .png. Это изображение содержит призыв к пользователям открыть его в программе Paint и изменить расширение на .hta. Учитывая контент этого сайта и контингент его посетителей, шансов на то, что кто-то последует совету, достаточно много.

Сменив расширение, жертва превращает файл в исполняемое браузерное приложение HTML. Анализ кода показывает, что в его конце находится JavaScript. Синтаксический анализатор HTA пропускает все графические данные файла и запускает этот скрипт. В данном конкретном случае скрипт перепаковывает сам себя и повторно выкладывает картинку на 4Chan, обходя систему CAPTCHA.

Стоит обратить внимание, что исполняемые файлы .hta в теории могут нести и куда более вредоносную нагрузку. В Microsoft троян назвали Trojan:JS/Chafpin.gen!A.