AMMAN WİN.CIH VİRÜSÜ!
Bu ay dergimize gönderilen problemlerden bazıları bir virüsten kaynaklanıyordu: Win.CIH. Üstelik bu virüs piyasadaki bazı kopya oyun CD'lerinde de bulunuyor. Salgın şeklinde olduğunu gözlediğimiz bu ölümcül virüsten ve çözümünden biraz bahsedelim dedik. Önce virüs hakkında bazı önemli bilgiler: Win95.CIH (CIH, WinCIH, Spacefiller, Win32.CIH olarak da bilinir) Windows 95, Windows 98 ve Windows NT'deki EXE dosyalarına bulaşan bir virüs. Bulaştığı bir programı çalıştırırsanız, virüs yayılıyor, belleğe yerleşiyor ve ondan sonra diskteki tüm EXE dosyalarına bulaşıyor. Virüs bulaşan program NT'de düzgün çalışmıyor, ama Windows 95/98 sistemlerde çoğu kez çalışıyor. Win.CIH'in kodu çok küçük ve 1000 byte'dan az, bulaştığı dosyanın boyutunu büyütmüyor (32 bitlik EXE dosyalarında kullanılmayan alana kodunu yazıyor); bu yüzden dosya boyutlarından bulaştığı kolaylıkla farkedilemiyor. Bulaştığı dosyada kesintisiz boş bir alan bulamazsa kendini parçalara bölüp dosyanın diğer boş alanlarına kopyalanıyor; bu yüzden Win95.Spacefiller olarak da anılıyor. EXE dosyası çalıştırıldığında bu parçalar tekrar birleşiyor ve virüs faaliyete geçiyor. Virüs kodu "CIH" metnini de içerdiği için bu adla anılıyor. Win95.CIH donanıma zarar verebileceği için çok ciddi bir virüs. 26 Nisan'da (veya sürümüne bağlı olarak herhangi bir ayın 26'sında) harekete geçerek anakartların flash belleğindeki BIOS verilerine zarar vereceği belirtiliyor. Bu durumda çoğu anakartın artık iş görmez hale geleceği malum. BIOS'a zarar verdikten sonra sabit diski okunamaz hale getireceği de söyleniyor. Win95.CIH tüm BIOS korumalarını aşabilecek özelliğe sahip. Bu yüzden mevcut en tehlikeli virüs. 1.2, 1.3, 1.4 gibi varyantları da bulunuyor. En son, piyasadaki bazı kopya Carmageddon 2 CD'lerinde bu virüse rastladık. Bu yüzden Türkiye'de epey yaygın. Bir okurumuz, Aygıt Yöneticisi'nde, disk denetçilerinden birinin yanındaki sarı ünlem işaretini kaldıramadığını, bu yüzden sorun yaşadığını yazdı. Ayrıca WinZip programının çalışmadığını, Zip'li dosyaların CRC hatası vererek açılmadığını belirtmişti. İlk sorunla hiç karşılaşmamıştık ama ikinci sorun başımıza geldiği için hemen Win.CIH taraması yapmasını önerdik. Virüsü temizledikten, temiz bir WinZip bulduktan sonra bu iki sorunun da ortadan kalktığını belirtir bir mesaj gönderdi. Virüsü aşağıda belirteceğimiz, bu ayki CD'mizde de bulabileceğiniz anti-virüs programlarıyla temizleyebilirsiniz. Ama temizlik sonrasında bazı dosyalarınızın bozulabileceğini de hatırlatalım. Temizlik sonrası Windows düzgün çalışıyor gibi görünüyordu; ancak WinZip örneğinde olduğu gibi bazı programlar bozulabiliyor, o yüzden Windows'a da güven olmaz. Bu yüzden virüsü temizledikten sonra uygun bir zamanınızda Windows'u da baştan yüklemenizi öneririz. Hatta çeşitli shareware programlarınızı da baştan, temiz sürümlerinden yüklemeniz gerekebilir. Gelelim anti-virüs programlarına... Bu virüs için özel üretilmiş programlardan biri, DOS ortamında çalışan CleanCIH. Bu ayki CD'mizde ve http://www.pspl.com/download/cleancih.htm adresinde yer alan programı temiz bir başlangıç disketine kopyalayıp, PC'nizi bu disketle açtıktan sonra tarama yapmanızı öneririz. Program DOS ortamında şöyle çalışıyor: CleanCIH C:\ Tüm C sürücüsünü tarar. CleanCIH C:\WINDOWS C:\WINDOWS klasörünü ve alt klasörlerini tarar. CleanCIH C:\ /AUTOCLEAN Tüm sürücüyü tarar, bulduğu WinCIH virüslerini otomatik olarak siler. CleanCIH C:\ /PROMPT Tüm sürücüyü tarar, bulduğu WinCIH virüslerini silmeden önce sizden onay ister.
Not: Başka sürücüleri aratmak için C: yerine sürücünüzün harfini yazın. Clean.CIH tek başına yeterli bir program değil, bazı ZIP dosyalarının içine bakamıyor. Ama açılış disketinden çalışıp belleğe yerleşen WinCIH'e izin vermediği için önce bu programı kullanmanızı öneriyoruz. Sonra Windows ortamında çalışan AntiViral Toolkit Pro'yu (AVP) önereceğiz. CD'mizde yer alan bu program süresi dolduğu uyarısı veriyor ama biz CD'mizi hazırlarken yeni sürümü çıkmadığı ve süresi dolsa da çalıştığı için yine de verdik. Siz www.avp.com adresini ziyaret ederek daha yeni sürüm çıkmışsa edinebilirsiniz. Programın Object bölmesinden belleği, sektörleri, dosyaları, sıkıştırılmış dosya ve arşivleri tarama seçeneklerini açabilir, hatta pek çok virüsü, hacker'ların kullandığı bazı trojan'ları tanıyan bu programı, tüm dosyalarınızı taraması için All Files seçeneğini işaretleyerek kullanabilirsiniz. Programın Actions bölümünde tarama ve virüsü silme seçenekleri, Options bölümünde detaylı arama seçenekleri yer alıyor. Bu seçenekleri işaretledikten sonra Location bölmesinde taranmasını istediğiniz sürücülerinizi, üzerlerine çift tıklayarak seçebilir, Add Folder düğmesine tıklayıp belirli bir klasörde de arama yaptırabilirsiniz. Burada Search Now düğmesine tıklayarak taramayı başlatacaksınız. Program ayrıca sisteminize AVP Monitör bileşenini de yükleyip, çalıştıracağınız dosyalarda tarama yapıyor. Böylece sisteminize gelecekte de virüs bulaşmasını önlüyorsunuz. AVP dışında Norton AntiVirus, e-Safe gibi programların yeni sürümlerinin de bu virüsü buldukları belirtiliyor. Aman, çok tehlikeli sorunlara yol açabilen Win.CIH'e karşı önlem almayı unutmayın!
|