DjCedrics Admin
Mesaj Sayısı : 15 Kayıt tarihi : 09/06/08 Yaş : 36 Nerden : Ankara
| Konu: CIH(Çernobil) Virüsü Salı Haz. 10, 2008 5:24 pm | |
| CIH (Cernobil) VİRÜSÜ CIH (Cernobil), virüsü sadece Windows95 ve Windows98 altında çalısan, bulasıcı ve çok yaygın bir bilgisayar virüsüdür. CIH Dos, NT , OS/2 gibi isletim sistemlerinde çalısmaz. CIH isimli Cernobil diye bilinen virüsün diger isimleri ise söyledir: PE_CIH, CIHV, SPACEFILLER, WIN32.CIH, CHERNOBYL, TSHERNOBYL, TSERNOBYL a- CIH virüsünün tarihi: Bu virüs Haziran 1998de Tayvan'da çok yaygın olarak bulundu. Virüsü yazan kisi, yerel bir internet konferansında virüsü faydalı bir program diye gönderdi. Bir hafta içinde virüs, Avusturya, Avustralya, _srail, _ngiltere'de bulundu. Ayrıca bir çok ülkede de tespit edildi (_sviçre, _sveç, USA,Rusya, Sili). b- CIH virüsü nasıl çalısır, bulasır? CIH virüsü, sadece Windows95 ve Windows98 executable ( .EXE uzantılı) dosyalarına bulasır. Virüslü bir .exe dosyası çalıstırılıp virüs hafızada aktif oldugu zaman sistemde çalıstırılan diger WIN95/98 .exe dosyalarına bulasmaya çalısır. Virüs kesinlikle DOS da aktif degildir, sadece windows da çalısabilir. Eger bilgisayarı DOS modunda (Command Prompt Only - Sadece Komut _slemi) açarsanız virüs hafızaya yüklenmez. Eger Windows’dan DOS'a çıkarsanız (Restart Computer in MSDOS mode) virüs hafızadan çıkar. Virüslü bir .exe dosyası ya baska bir arkadasınızdan veya dısardan bir disketle,cd-romla veya internetten çektiginiz veya emailinizde size gönderilen bir .exe dosyası varsa ve bu .exe dosyasını çalıstırırsanız size bulasır. Bunların dısında baska bir sekilde bulasmaz. Virüsde bazı programlama hataları oldugu için bazı bilgisayarlarda virüslü dosya çalıstırıldıgı zaman sistem kilitleniyor. Virüs sadece ayın belli tarihlerinde aktif oluyor. Bu virüsün 3 tane farklı tipi vardır: Uzunluk _çerdigi Yazı Aktif olma tarihleri Yaygın mı? 1003 CCIH 1.2 TTIT Nisan 26 Evet 1010 CCIH 1.3 TTIT Nisan 26 Hayır 1019 CCIH 1.4 TATUNG Her ayın 26sinda Evet Yukarıdaki tabloyu açıklayalım: Uzunluk: Virüsün kapladıgı yer. Çok ilginçtir, bu virüsün bu kadar yayılma sebeplerinden birisi de virüsün bir dosyaya bulastıgı zaman dosyanın boyutlarını arttırmamasıdır. Virüs, dosyalardaki kullanılmayan boslukları bulup kendisini parça parça bu bosluklara kaydetmektedir. Bu sekilde insanların gözünden kaçabilmektedir. Bu virüs aynı zamanda türünün ilk örnegidir. _çerdigi Yazı: Virüsün bulastıgı dosyalara yazdıgı bir yazı. Aktif olma tarihleri: Virüs bu tarihler haricinde bulasmak dısında hiçbir islem yapmamaktadır. Bu tarihlerde ise sisteme hasar verecektir. Yaygın mı: Bu virüsün diger ülkelerde de yaygın olup olmayan türleri. Çok ilginçtir bugüne kadar bize ulasan virüslerin çogu 1.3 türü idi. Sanırız Türkiye’de daha çok 1.3 türündeki virüs yaygın. c- Virüsün verdigi zararlar nelerdir? Virüs iki türlü hasar vermektedir: a) Flash BIOS’LAR: Özelliklerde Pentium ve Pentium-II islemcilerin kullanıldıgı anakartlarda bulunan Flash Bios özelligi bilgisayarınızın yeni çıkan islemcileri desteklemesi ve BIOS’larda olabilecek (2000 yılı gibi) yazılım hatalarına karsı yenilemenizi saglar. Bir program ile bu BIOSların en son versiyonlarını internetten çekip Flash Biosa yazabildiginiz gibi bu virüs de Flash Biosa yazabiliyor. Flash Biosu anlamsız ise yaramayan datalarla dolduran bu virüs bilgisayarın ilk açılmasını saglayan bu kritik yazılımı ise yaramaz hale getiriyor ve bilgisayarınızda kapkara bir ekranla bas basa kalıyorsunuz. b) Harddiskler: Virüs harddisklerin MBR (Partition) ve Boot diye bilinen iki bölgesindeki bilgilerin üzerine yazmakta ve onları da ise yaramaz bilgilerle doldurmaktadır. Bu durumda harddisk saglam olsa bile , harddiske sistemin erismesinde gerekli olan bu yerlerdeki yanlıs datalar bilgisayarınızın harddiskteki dosyalara erismesini engellemektedir. Özellikle direkt biosdan erisim sistemi kullanan bu virüs BIOSlardaki virüs korumasını da asmaktadır. Ayrıca virüs rasgele bir sekilde disketteki dosyalara hasar da verebilmektedir. Bunun yanısıra, virüsün harddiskin ilk 1Mblık alanını sildigi ve FAT (Dosya Tablosu) yapısını bozdugu da bilinmektedir. Bu durumda ise bilgileri kurtarmak imkansız denilebilir. Ancak Norton Utilities programlarından Unformat ile Ontrack firmasının Tiramisu programları bir umut ısıgı olabilir. Norton Utilities internet sayfasına www.symantec.com adresinden erisebilirsiniz. Ontrack firmasının internet sayfasına www.ontrack.com adresinden erisebilirsiniz. Virüs bu bahsedilen konular dısında hiç bir seye zarar vermez. Maalesef medyada çıkan bazı haberler bizi bu konuda sizleri uyarma ihtiyacına yönlendirdi. Cdromların epromlarının bozulması, SMS mesajları ile Cep telefonlarının bozulması gibi bir çok asılsız haberlere lütfen inanmayınız. Sadece size anlattıgımız gibi Flash bios ve harddiskdeki bilgilere zarar vermektedir. d- Bu virüsden nasıl kurtulunur? Bu konuyu iki sekilde ele alacagız. a) Bilgisayarı hasar görmemis ama virüs olma ihtimali olanlar: - Flash Bios: Virüs tarafından flash biosu silinen kullanıcılara tavsiyemiz yeni bir anakart almadan önce, flash bioslarını tamir ettirmeye çalısmalarıdır. Bu maliyeti yok denecek kadar az ama bilgili eleman isteyen bir konudur.(Maalesef ülkemiz bilgisayar konusunda çok cahildir...) Öncelikle Flash BIOS ufak bir programdır. Eger elinizde daha önceden kaydetmis oldugunuz anakartınıza ait Flash Bios dosyası varsa bu dosyadaki dataları bir eprom programlayıcısı olan bir elektronikçide bios çipinize geri yükletebilirsiniz. Eger çipi siz söküp elektronikçiye götürecekseniz dikkatli olun. Sökerken çipin bacakları hasar görebilir. Bu islem çok dikkatli yapılmalıdır. Bazı anakartların Bios çipleri de sökülememektedir, bu durum daha ilerde ele alınacaktır. Bu sitelerde BIOS update bölümünde gerekli talimatlarla birlikte en yeni Bios sürümlerini bulabilirsiniz. Eger baska bir tanıdıgınızda aynı bilgisayardan veya aynı anakarttan varsa onların bilgisayarları saglam ise asagıdaki bios programları ile hem markasını ögrenebilir hem de biosunu bir diskete kopyalayabilirsiniz. Bu sekilde elinizde Biosunuzun bir kopyası olacak ve bunu bir elektronikçide bir eprom programlayıcısı ile geri yükleyebileceksiniz. Bu islemi gerçeklestirmis arkadasları tanıyorum kesinlikle mümkün ve basarılı sonuç veren bir islemdir. Flash Biosun sökülemedigi eski anakartlarda ise durum biraz vahimdir. Anlatacagım teknigin islerligi konusunda hiçbir garanti veremem , anlatacaklarım yukarda adı geçen anakart sitelerinden alınmıstır. Ben hiç denemede bulunmadım bu yüzden ise yarayıp yaramayacagını da bilemiyorum. _htiyacınız olan : 1- ISA ekran kartı (Asusda optional demis yani gerekmeyebilir de ama emin degilim) 2- Çalısır durumda bir Floppy drive 3- _çinde sistem dosyaları , gerekli bios programları olan , flash biosunuz kopyasını da içeren bir disket. Config.sys koymayın, sistem dosyalarınız win95 sistem dosyalarından ziyade dos 6.22 olsun çünkü daha az hafıza kaplıyorlar. Gigabyte anakartların bios sayfalarında özellikle windows95 sistem dosyalarını kullanmayın deniliyor. Gerekli programları ve sistem disketinin bir kopyasını bu sayfada bulabilirsiniz. Tavsiyem autoexec.bat dosyasını öyle bir ayarlayın ki kullanıcının hiç bir sey yapmasına gerek kalmadan , bootlayıp flash biosunuzu otomatik geri yüklemesi... Nasıl yapılacak? 1- Sistemdeki anakarta takılı butun kartları çıkarın sadece ISA ekran kartı kalsın. 2- Hazırladıgınız disketi (gerekli programları asagıdaki bölüme koyduk) floppy drive takın. 3- Sistemi power tusuna basın 4- Umarım ise yarar 5- Disketi çıkarmayı unutmayın. Harddiskler: CIH virüsü ile erisilmez durumdaki harddiskleri geri kazanmak için , diskeditor denilen programlara ihtiyacınız var. Bu tür programlar, Norton Diskeditor, Winhex gibi programlar kullanabilirsiniz. En iyisi aynı harddiske sahip olan birinden partition ve bootları bir diskete kopyalayıp kendi harddiskinize geri yüklemek. Fakat dikkat etmeniz gereken önemli bir nokta, harddisklerin aynı formata ve büyüklüklere sahip olmasıdır. Örnegin , 6.4gb bir harddiskiniz var , bunu 2 partitiona ayırıp c ve d sürücüleri olarak 2 tane 3.2gb bir sekilde formatlarsanız ve gidip de sadece 6.4 gb olarak formatlanan bir harddiske geri yüklerseniz, o zaman harddiski bilgisayara yanlıs tanıtmıs olursunuz ve dosyalarınıza erisemezsiniz. Asagıda 2.1 gb ve 10.2 gblık quantum harddisk partition ve bootlarını koyuyorum , dikkat bunların ikisi de sadece tek partitionlı harddiskler içindir, eger harddiskinizi böldüyseniz bunları kullanmayın, bu harddisklerin FAT yapıları FAT32 biçimindedir, sakın FAT16 olan harddisklerde kullanmayın ve son olarak , olabilecek hasarlardan dolayı biz sorumlu degiliz. Eger bu yöntemler ise yaramaz ise, Norton Disk Doctor gibi programları tavsiye ederim. Özellikle NDD / rebuild komutu harddiskte partition aratıp geri yükleyebilmektedir. Dikkat edilmesi gereken bir nokta da, FAT32 denilen 2.1gbdan büyük harddisklerin tek parça olarak formatlanmasını saglayan Microsoftun Windows95 OSR2 ve Windows98 de destekledigi FAT sistemini Norton Utilities 2.0 For Windows ve üstü desteklemektedir. (Norton Utilities For Windows ile dos programları da gelmektedir). Ayrıca internette bir çok disk editör programlar bulunmaktadır, haksız rekabet gibi bir olay olmasın diye Winhex isimli bir programın da ismini vereyim. Biz hiç bir yazılım firması ile çalısmıyor, hiç bir sahsi çıkar iliskimiz de yoktur. Tekrar ediyoruz, bu sayfada bilgiler ve programlardan dolayı olusacak hiçbir hasar bizim sorumlulugumuzda degildir. Umarım bu sayfadaki bilgiler isinize yaramıstır , bize virüsle ilgili merak ettiginiz baska bir sey varsa email atarak sorabilirsiniz, genelde cevapları bu sayfaya ilave edecegiz. e- Programlar: 1- Flash Bios programları: Bu programlar ile biosunuzu yedekleyebilir , yedeklerden geri yükleyebilir veya yenileyebilirsiniz. Asus Board Sayfasında bir çok FLASH BIOS programı var, hepsini koyamayacagımdan size tavsiyem www.asus.com adresine gidip oradan gerekli dosyaları almanızdır. ctbios.zip - Bu programı çalıstırdıgınızda, bilgisayarınızın bios markasını ve internet sayfalarını gösterir. 2- Harddisk programları: system.zip - DOS 6.22 sistem disketi image dosyası, winimage gibi bir program ile bir diske aktarın. w98sys.zip - Windows 98 sistem disketi image dosyası, cd-romlarınızı da otomatik olarak sisteme tanıtmaktadır. q10.zip - Quantum Fireball 10.2Gb EL model harddisk partition ve boot image dosyası, (FAT32 formatlı, tek partition, sakın baska türlü formatlanmıs harddisklere bunu geri yüklemeyin). 3- Antivirus programları: kill_cih.exe - Bu program windowsda aktif olan CIH virüsünün çalısmasını durdurur , hafızadan(memoryden) siler , ama harddiskten de temizlemeniz gerekir. Bu program sadece virüsü durdurup antivirüs programlarının rahatça çalısmalarını saglar. fp-307b.zip - F-prot antivirüsün en son dos versiyonu CIH dahil bir çok virüsü temizler, üstelik bedava. | |
|