WIN.CIH (Çernobil) virüsü HAKKINDA

 

Cih virüsü, 1999 ve sonrasındaki yıllarda 26 Nisan gününde tetiklendi ve virüs kodunda tetiklenme sonrası gerçekleştirilmek üzere programlanmış olan işlemi gerçekleştirdi. Virüs kodundaki hasar oluşturucu prosedürler iki kısımdır. Birincisi, yazma koruması içermeyen Flash BIOS’ların içeriğini çöp kod ile doldurmak. İkincisi, sabit diskin başlangıcından itibaren, maksimum 2048 olacak şekilde adet sektöre çöp kod yazılmasıdır.

 

Gerek bilgisayar camiası gerekse kullanıcılar, bu kadar yıkıcı etkiden sonra virüsün kökünün kazındığını ve 2000 yılında bir sorun olmayacağını düşünmüşlerdi. Ancak bu düşünceler sadece 2000 değil 2001, 2002 ve devam eden yıllarda da büyük birer yanılgı oldu. İşin asıl ilginç ve de kötü yanı Cih virüsünün verdiği hasar nedeniyle değil de yapılan yanlış ve bilinçsiz müdahalelerle insanların verilerini kaybediyor olması. Bu yüzden, gerek hasarın yapısı gerekse hasar sonrası yapılması ve yapılmaması gerekenler ile ilgili doğru bilgileri vermek akıllıca bir davranış olacaktır.

 

Bizce, Cih virüsünün oluşturduğu hasarlardan daha da önemli olan konu, çevremizdeki iki ayaklı virüslerin geçmiş yıllarda yaptıkları ve bu yıl da yapacaklarıdır. Cih virüsünün oluşturduğu hasar, teorik olarak, disk bölümlerinde dosyalarımızın bulunduğu veri alanına binde bir olasılıkla ulaşabilir. Ki, buraları da genellikle işletim sistemi dosyalarıdır. Geçmiş yıllardaki istatistiki verilerimiz ve teorik durum hasar sonrası verilerimize hiçbir şey olmadığını ve olmayacağını göstermektedir. Peki o zaman diskimizdeki verilerimiz nasıl oluyor da zarar görüyor. Bu bilgiler sonrasında olayı anlamak kolaylaştı. Gerçekte, yapılan bilgisiz ve hatalı müdahaleler sonrasında verilerimiz gerçekten yok oluyor veya zarar görüyor. Bu çerçevede, otomatik “Cih recovery” programlarına da değineceğiz.

 

Cih virüsünün oluşturduğu birinci hasar : Flash BIOS içeriğinin silinmesi. Bizce önemsiz bir konu. BIOS çipi yeniden yazılabilir. Pek çok bilgisayar firması EPROM programlayıcıya sahip. En kötü ihtimalle mevcut Ana kartı çöpe atar 40-50$’a yenisini alırsınız. BIOS içeriği silindiğinde veya bozulduğunda bilgisayarınız elektrik alır, fakat ekrana hiçbir şey gelmez. Diskiniz ne durumda acaba. Meraklanmaya gerek yok. Virüs önce disk üzerinde işlem yapmakta, sonra BIOS içeriğini silmekte. O halde kesin olarak diskiniz de hasarlı durumdadır.

 

Cih virüsünün oluşturduğu ikinci hasar : Diskin başlangıcından itibaren 512-2048 arasında bir adet kadar sektörün silinmesi. Cih virüsü yapısal olarak sadece Windows 95/98/ME serisinde Diske ve BIOS’a erişebilir. Windows NT/2000/XP serisinde Diske ve BIOS’a erişemez. Çünkü bu sistemler programların donanım birimlerine direk olarak erişmelerine izin vermezler. Virüs Win-EXE yapıda olduğu için DOS olarak çalışan bilgisayarlarda da etkili olamaz. O halde virüs sadece FAT tabanlı dosya sistemlerini etkileyebilir.

 

FAT32 dosya sisteminin yapısı gereği virüs asla ikinci FAT kopyasına ulaşmamaktadır. Küme boyutunu kendiniz belirlediyseniz bu durum geçerli olmayabilir. Ancak çoğu kimse standart değerleri kullandığı için varsayımımız geçerli olacaktır. İkinci FAT kopyası sağlam olan bir sistemde Disk bölümünü eski orijinal haline geri döndürmek kesin olarak mümkündür. Bu nedenle FAT32 dosya sistemi ile biçimlenmiş diskler için bir sorun yok diyebiliriz. Sadece doğru müdahalenin hatasız bir şekilde yapılması gerekmektedir.

 

FAT16 dosya sisteminde sistem alanı maksimum halde 63+1+2*256+32=608 sektör tutmaktadır. Bu ise, Cih virüsünün sistem alanının tamamını %99 ihtimalle ortadan kaldıracağı anlamına gelmektedir. O halde, birinci disk bölümünüz eğer FAT16 ise, kesinlikle profesyonel bir veri kurtarma hizmeti almanız gerekecektir. Aynı şey FAT12 dosya sistemi için de geçerlidir. Çoğu durumda veri alanındaki dosyalar parçalanmış olduğu için otomatik veri kurtarma programları da başarısız olacaktır. Tüm bu açıklamalarımıza ve uyarılarımıza rağmen bir hayal kırıklığı yaşamak istiyorsanız, bu size kalmış.

 

NTFS dosya sistemi Windows 95 serisi tarafından desteklenmediği ve sadece NT serilerinde kullanıldığı için Cih virüsünden etkilenmeyecektir. Yine de istisna durumlar olabilir. Bu halde, Boot ve MFT silinecektir. Ancak Boot ve MFT yedekleri dosya sisteminde mevcut olduğu için hasar telafi edilebilir. Ancak yine de belirli sayıda dosya ve klasör tanımı zarar görecektir. NTFS5 içinse, MFT ve dosya klasör tanımları asla zarar görmez. Az miktarda veri kümesi zarar görecektir.

 

Cih virüsü diskteki diğer bölümleri etkilemez. Bu nedenle ikinci ve sonraki bölümleriniz, doğru bölümleme tanımlaması yapıldığında geri gelecektir. Ama asla FDISK kullanmayın. Yoksa hep söylediğimiz şey olur. İkinci ve sonraki bölümleri siz yok etmiş olursunuz. Bazı orijinal markalarda diskin ilk 2 silindiri test amaçlı kullanılan bir bölüm olarak düzenlenmiştir. Bu durumda diskteki gerçek bölümlere hiçbir şey olmamaktadır. Bizce güzel bir yaklaşım. İlk önce böyle bir yapının olup olmadığının araştırılmasında fayda var.

 

26 Nisan günü bilgisayarınızı açtınız ve olan oldu. Sonra da telaşla ve alel acele pek çok kurtarma(!) işlemi gerçekleştirdiniz. Bilgisayarınızda önemli bilgileriniz yok ise sorun değil. Diskinizi yeniden bölümleyin, formatlayın, işletim sisteminizi kurun ve işinize devam edin. Ancak diskinizde önemli bilgileriniz varsa orada durun. Bir veri kurtarma uzmanı tarafından yapılmamış tüm müdahalelerin riskli olduğunu asla unutmayın. Cih virüsü bilgilerinizi yok etmez. Konunun uzmanı olmayanlar yok eder. Her ne yaptıysanız veya birileri her ne yaptı ise, her zaman bir şansınız daha olabileceğini de unutmayın. O halde, her durumda bizi arayın ve uzmanlarımız tarafından gerçekleştirilen profesyonel veri kurtarma hizmetlerimizden faydalanmak üzere bizimle görüşün.

 

Cih hasarını otomatik olarak giderdiğini iddia eden programların durumu : Şu ana kadar disklerdeki Cih hasarını otomatik olarak gidermek amacıyla yazılmış iki program bulunmaktadır. Bu programların ikisi de ücretsiz olarak dağıtılmaktadır.

 

Bunlardan birincisi FIX-CIH programıdır. Bu program Steve Gibson tarafından yazılmıştır. Program iyi tasarlanmış olup çok sayıda ve uzun zaman alan kontroller gerçekleştirmektedir. Bazen Root DET alanının adresini yanlış tespit etmektedir. Program olayın mantığı çerçevesinde doğru FAT32 yapılandırması durumunda işlem yapmaktadır. Kullanılması diğer programa göre daha az riskli olmasına rağmen, eğer diskinizde çok önemli bilgileriniz varsa kullanmanızı tavsiye etmeyiz. Her durumda uzmanları tarafından verilen profesyonel bir veri kurtarma hizmeti almak daha doğru bir yaklaşımdır. Diyelim ki kullandınız, diskiniz de eski haline gelmedi. Bu noktada mutlaka durun. Artık yapacağınız her işlemin bilgilerinizi gerçekten yok edeceğini, kurtarılabilme şansını düşüreceğini ve profesyonel bir hizmet için kat kat daha fazla ücret ödemek zorunda kalacağınızı unutmayın.

 

İkincisi CIH-RECO programıdır. Bu program Microworld/F-Secure tarafından yazılmıştır. Program onarım işlemini çok hızlı bir şekilde gerçekleştirmektedir. Ama maalesef olaya yaklaşımı ve programlama tekniği açısından çok zayıf ve hatalara açık bir programdır. Bu program, anti virüs firmalarının aynı zamanda veri kurtarma işi ile de uğraşmamaları gerektiğinin açık bir kanıtıdır.

 

1)  Program Windows altında da çalışmakta ve işlem yapmaktadır!

2)  Bölüm tablosu ve boot sektör var ve doğru olmasına rağmen işlem yapmaktadır!

3) Windows altında iken disk parametrelerini yanlış belirlemekte ve sağlam yapıyı bozabilmektedir!

4) İşin asıl felaket olan yanı diskte FAT16 dosya sistemi olduğuna karar vermesi durumunda yapmaya kalkıştıklarıdır. Kesinlikle yanlış ve yakışıksız bir durum!

Tüm bunlara rağmen bu programı kullanmayı düşünenler varsa, riski göğüslemek kendilerine kalmış!

 

Cih virüsünün diskte oluşturduğu hasarı otomatik olarak giderecek bir program yazmak mümkün değil mi? FAT12 ve FAT16 için kesinlikle mümkün değil. Fakat FAT32 için mümkün. Ancak bilgisayar sistemlerinde kontrol altında tutulamayan o kadar çok olay ve parametre var ki, çözüm ne kadar belirgin ve net olursa olsun, istisnalar bu çözümü anlamsız kılabilmektedir. 2003 yılında FAT32 için Cih hasarını otomatik olarak gideren bir program yazmayı ve bunu ücretsiz olarak dağıtmayı düşünmüştük. Ancak, her zaman eleştirdiğimiz duruma düşmemek için bundan vazgeçtik. Bu konudaki kesin kararımız, veri kurtarma fenomeninde en küçük risklerin bile ihmal edilemeyeceği kanaati sonucunda ortaya çıkmıştır. Veri kurtarma olaylarında risk almak kesinlikle yanlıştır.