Первым делом, для разбора исходной картинки, было решено её распаковать, так как все PNG-файлы упакованы алгоритмом deflate. На выходе было получено неупакованное BMP-изображение. Открыв его в Hiew, сразу же стал понятен замысел злоумышленников. Практически сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически собственноручно запустит скрипт.

Фрагмент оригинального PNG-файла, преобразованного в BMP

Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, что довольно стандартно. А затем он обращается к разделу "random” популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова. В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. На скриншотах представлены фрагменты кода, отвечающего за использование обоих методов.

Фрагменты скрипта, отвечающего за обход механизма CAPTCHA

В итоге полный цикл работы зловреда выглядит следующим образом: добавление HTA-файла в автозагрузку, генерация новой картинки и, наконец, публикация поста, содержащего сгенерированное изображение, на форуме. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.