Специалисты антивирусной лаборатории Microsoft
выявили новую вредоносную программу, использующую достаточно нетривиальный
подход к обфускации опасного кода. Циркулирует зараза внутри скандально
известного форума 4Chan.
Вирус распространяется как графический файл формата .png. Это изображение
содержит призыв к пользователям открыть его в программе Paint и изменить
расширение на .hta. Учитывая контент этого сайта и контингент его посетителей,
шансов на то, что кто-то последует совету, достаточно много.
Сменив расширение, жертва превращает файл в исполняемое браузерное приложение
HTML. Анализ кода показывает, что в его конце находится JavaScript.
Синтаксический анализатор HTA пропускает все графические данные файла и
запускает этот скрипт. В данном конкретном случае скрипт перепаковывает сам себя
и повторно выкладывает картинку на 4Chan, обходя систему CAPTCHA.
Стоит обратить внимание, что исполняемые файлы .hta в теории могут нести и
куда более вредоносную нагрузку. В Microsoft троян назвали
Trojan:JS/Chafpin.gen!A.
