Win32.Rainsong — новый опасный Windows-вирус

«Лаборатория Касперского» предупреждает компьютерных пользователей о новом опасном вирусе Win32.Rainsong.
Этот вирус является резидентным на время процесса полиморфным Windows-вирусом. Ищет
выполняемые файлы Windows (PE EXE) в каталоге Windows и заражает их. Затем
остается в памяти Windows как часть программы-носителя и при ее обращениях
к PE EXE-файлам заражает их.

При заражении файлов записываюся в их конец — увеличивают размер последней
секции файла, записывают в нее свой код и модифицируют необходимые поля
PE-заголовка.

Использует технологию «Entry Point Obscuring» (EPO) — при заражении не
меняет стартовый адрес программы (не устанавливает точку входа в файл на
свой код). Вместо этого сканирует тело файла, ищет команду CALL (вызов
процедуры) и заменяет ее на команду передачи управления на код вируса.
Таким образом вирус получает управление не непосредственно при запуске
зараженного файла, а только в том случае, если управление получает
исправленный вирусом код зараженного файла.

Вирус содержит ошибки и часто портит файлы при их заражении.

Проверяет имена файлов и не заражает некоторые антивирусы: AV*, AN*, DR*,
ID*, OD*, TB*, F-*.

6 апреля выдает окно сообщения:

ASIMOV Jan.2.1920 — Apr.6.1992

Также содержит текст:

< The Rain Song Coded By Bumblebee/29a >