病毒名称：GOTCHA

趋势科技公司  陆阳
1995-02-10

        程序长度：EXE、COM文件均增加906字节
        拦截中断：INT 21、INT 24(错误处理)
        执行流程：
        1.当“906”进入内存时，会检查自己是否已常驻在内存，若是还未常驻，那它便会拦截INT 21并常驻高端内存，然后执行原程序。
        2.若已常驻内存则直接执行原程序。
        传染方式：
        1.此病毒利用 INT 21 的 “AH=0x4B(执行程序)，AH=0x6C or 0x3D (OPEN FILE),AH=0x56 or 0x17 (RENAME),AH=43 (GET or SET FILE ATTRIBUTE),AH=4E (SEARCH FOR MATCH FILE)及 AH=41 or 13 (DELETE FILE)”来感染文件。
        2.当要感染文件时会先拦截 INT 24 (错误处理)来忽略 I/O 上的错误。
        3.感染文件时会先关掉 Control_Break 的功能。
        破坏行为：无
        检查及识别方式：检查文件长度是否增加 906 字节
        
 
 