病毒名称:GOTCHA
拦截中断:INT 21、INT 24(错误处理)
执行流程:
1.当“906”进入内存时,会检查自己是否已常驻在内存,若是还未常驻,那它便会拦截INT 21并常驻高端内存,然后执行原程序。
2.若已常驻内存则直接执行原程序。
传染方式:
1.此病毒利用 INT 21 的 “AH=0x4B(执行程序),AH=0x6C or 0x3D (OPEN FILE),AH=0x56 or 0x17 (RENAME),AH=43 (GET or SET FILE ATTRIBUTE),AH=4E (SEARCH FOR MATCH FILE)及 AH=41 or 13 (DELETE FILE)”来感染文件。
2.当要感染文件时会先拦截 INT 24 (错误处理)来忽略 I/O 上的错误。
3.感染文件时会先关掉 Control_Break 的功能。
破坏行为:无
检查及识别方式:检查文件长度是否增加 906 字节