病毒名称:GOTCHA

Author: 趋势科技公司 陆阳 Date: 1995-02-10

        程序长度:EXE、COM文件均增加906字节
        拦截中断:INT 21、INT 24(错误处理)
        执行流程:
        1.当“906”进入内存时,会检查自己是否已常驻在内存,若是还未常驻,那它便会拦截INT 21并常驻高端内存,然后执行原程序。
        2.若已常驻内存则直接执行原程序。
        传染方式:
        1.此病毒利用 INT 21 的 “AH=0x4B(执行程序),AH=0x6C or 0x3D (OPEN FILE),AH=0x56 or 0x17 (RENAME),AH=43 (GET or SET FILE ATTRIBUTE),AH=4E (SEARCH FOR MATCH FILE)及 AH=41 or 13 (DELETE FILE)”来感染文件。
        2.当要感染文件时会先拦截 INT 24 (错误处理)来忽略 I/O 上的错误。
        3.感染文件时会先关掉 Control_Break 的功能。
        破坏行为:无
        检查及识别方式:检查文件长度是否增加 906 字节