WIN.CIH (Çernobil) virüsü HAKKINDA
Cih virüsü, 1999 ve sonrasındaki yıllarda 26
Nisan gününde tetiklendi ve virüs kodunda tetiklenme sonrası
gerçekleştirilmek üzere programlanmış olan işlemi gerçekleştirdi. Virüs
kodundaki hasar oluşturucu prosedürler iki kısımdır. Birincisi, yazma
koruması içermeyen Flash BIOS’ların içeriğini çöp kod ile doldurmak.
İkincisi, sabit diskin başlangıcından itibaren, maksimum 2048 olacak şekilde
adet sektöre çöp kod yazılmasıdır.
Gerek bilgisayar camiası gerekse kullanıcılar,
bu kadar yıkıcı etkiden sonra virüsün kökünün kazındığını ve 2000 yılında bir
sorun olmayacağını düşünmüşlerdi. Ancak bu düşünceler sadece 2000 değil
2001, 2002 ve devam eden yıllarda da büyük birer yanılgı oldu. İşin asıl
ilginç ve de kötü yanı Cih virüsünün verdiği hasar nedeniyle değil de yapılan
yanlış ve bilinçsiz müdahalelerle insanların verilerini kaybediyor olması. Bu
yüzden, gerek hasarın yapısı gerekse hasar sonrası yapılması ve yapılmaması
gerekenler ile ilgili doğru bilgileri vermek akıllıca bir davranış olacaktır.
Bizce, Cih virüsünün oluşturduğu hasarlardan
daha da önemli olan konu, çevremizdeki iki ayaklı virüslerin geçmiş yıllarda
yaptıkları ve bu yıl da yapacaklarıdır. Cih virüsünün oluşturduğu hasar,
teorik olarak, disk bölümlerinde dosyalarımızın bulunduğu veri alanına binde
bir olasılıkla ulaşabilir. Ki, buraları da genellikle işletim sistemi
dosyalarıdır. Geçmiş yıllardaki istatistiki verilerimiz ve teorik durum hasar
sonrası verilerimize hiçbir şey olmadığını ve olmayacağını göstermektedir.
Peki o zaman diskimizdeki verilerimiz nasıl oluyor da zarar görüyor. Bu
bilgiler sonrasında olayı anlamak kolaylaştı. Gerçekte, yapılan bilgisiz ve
hatalı müdahaleler sonrasında verilerimiz gerçekten yok oluyor veya zarar
görüyor. Bu çerçevede, otomatik “Cih recovery” programlarına da değineceğiz.
Cih virüsünün oluşturduğu birinci hasar :
Flash BIOS içeriğinin silinmesi. Bizce önemsiz bir konu. BIOS çipi yeniden
yazılabilir. Pek çok bilgisayar firması EPROM programlayıcıya sahip. En kötü
ihtimalle mevcut Ana kartı çöpe atar 40-50$’a yenisini alırsınız. BIOS
içeriği silindiğinde veya bozulduğunda bilgisayarınız elektrik alır, fakat
ekrana hiçbir şey gelmez. Diskiniz ne durumda acaba. Meraklanmaya gerek yok.
Virüs önce disk üzerinde işlem yapmakta, sonra BIOS içeriğini silmekte. O
halde kesin olarak diskiniz de hasarlı durumdadır.
Cih virüsünün oluşturduğu ikinci hasar :
Diskin başlangıcından itibaren 512-2048 arasında bir adet kadar sektörün
silinmesi. Cih virüsü yapısal olarak sadece Windows 95/98/ME serisinde Diske
ve BIOS’a erişebilir. Windows NT/2000/XP serisinde Diske ve BIOS’a erişemez.
Çünkü bu sistemler programların donanım birimlerine direk olarak erişmelerine
izin vermezler. Virüs Win-EXE yapıda olduğu için DOS olarak çalışan
bilgisayarlarda da etkili olamaz. O halde virüs sadece FAT tabanlı dosya
sistemlerini etkileyebilir.
FAT32 dosya sisteminin yapısı gereği virüs asla
ikinci FAT kopyasına ulaşmamaktadır. Küme boyutunu kendiniz belirlediyseniz
bu durum geçerli olmayabilir. Ancak çoğu kimse standart değerleri kullandığı
için varsayımımız geçerli olacaktır. İkinci FAT kopyası sağlam olan bir
sistemde Disk bölümünü eski orijinal haline geri döndürmek kesin olarak
mümkündür. Bu nedenle FAT32 dosya sistemi ile biçimlenmiş diskler için bir
sorun yok diyebiliriz. Sadece doğru müdahalenin hatasız bir şekilde yapılması
gerekmektedir.
FAT16 dosya sisteminde sistem alanı maksimum
halde 63+1+2*256+32=608 sektör tutmaktadır. Bu ise, Cih virüsünün sistem
alanının tamamını %99 ihtimalle ortadan kaldıracağı anlamına gelmektedir. O
halde, birinci disk bölümünüz eğer FAT16 ise, kesinlikle profesyonel bir veri
kurtarma hizmeti almanız gerekecektir. Aynı şey FAT12 dosya sistemi için de
geçerlidir. Çoğu durumda veri alanındaki dosyalar parçalanmış olduğu için
otomatik veri kurtarma programları da başarısız olacaktır. Tüm bu
açıklamalarımıza ve uyarılarımıza rağmen bir hayal kırıklığı yaşamak
istiyorsanız, bu size kalmış.
NTFS dosya sistemi Windows 95 serisi tarafından
desteklenmediği ve sadece NT serilerinde kullanıldığı için Cih virüsünden
etkilenmeyecektir. Yine de istisna durumlar olabilir. Bu halde, Boot ve MFT
silinecektir. Ancak Boot ve MFT yedekleri dosya sisteminde mevcut olduğu için
hasar telafi edilebilir. Ancak yine de belirli sayıda dosya ve klasör tanımı
zarar görecektir. NTFS5 içinse, MFT ve dosya klasör tanımları asla zarar
görmez. Az miktarda veri kümesi zarar görecektir.
Cih virüsü diskteki diğer bölümleri etkilemez.
Bu nedenle ikinci ve sonraki bölümleriniz, doğru bölümleme tanımlaması
yapıldığında geri gelecektir. Ama asla FDISK kullanmayın. Yoksa hep
söylediğimiz şey olur. İkinci ve sonraki bölümleri siz yok etmiş olursunuz.
Bazı orijinal markalarda diskin ilk 2 silindiri test amaçlı kullanılan bir
bölüm olarak düzenlenmiştir. Bu durumda diskteki gerçek bölümlere hiçbir şey
olmamaktadır. Bizce güzel bir yaklaşım. İlk önce böyle bir yapının olup
olmadığının araştırılmasında fayda var.
26 Nisan günü bilgisayarınızı açtınız ve olan
oldu. Sonra da telaşla ve alel acele pek çok kurtarma(!) işlemi
gerçekleştirdiniz. Bilgisayarınızda önemli bilgileriniz yok ise sorun değil.
Diskinizi yeniden bölümleyin, formatlayın, işletim sisteminizi kurun ve
işinize devam edin. Ancak diskinizde önemli bilgileriniz varsa orada durun.
Bir veri kurtarma uzmanı tarafından yapılmamış tüm müdahalelerin riskli
olduğunu asla unutmayın. Cih virüsü bilgilerinizi yok etmez. Konunun uzmanı
olmayanlar yok eder. Her ne yaptıysanız veya birileri her ne yaptı ise, her
zaman bir şansınız daha olabileceğini de unutmayın. O halde, her durumda bizi
arayın ve uzmanlarımız tarafından gerçekleştirilen profesyonel veri kurtarma
hizmetlerimizden faydalanmak üzere bizimle görüşün.
Cih hasarını otomatik olarak giderdiğini
iddia eden programların durumu : Şu ana kadar disklerdeki Cih hasarını
otomatik olarak gidermek amacıyla yazılmış iki program bulunmaktadır. Bu
programların ikisi de ücretsiz olarak dağıtılmaktadır.
Bunlardan birincisi FIX-CIH programıdır. Bu
program Steve Gibson tarafından yazılmıştır. Program iyi tasarlanmış olup çok
sayıda ve uzun zaman alan kontroller gerçekleştirmektedir. Bazen Root DET
alanının adresini yanlış tespit etmektedir. Program olayın mantığı
çerçevesinde doğru FAT32 yapılandırması durumunda işlem yapmaktadır.
Kullanılması diğer programa göre daha az riskli olmasına rağmen, eğer
diskinizde çok önemli bilgileriniz varsa kullanmanızı tavsiye etmeyiz. Her
durumda uzmanları tarafından verilen profesyonel bir veri kurtarma hizmeti
almak daha doğru bir yaklaşımdır. Diyelim ki kullandınız, diskiniz de eski
haline gelmedi. Bu noktada mutlaka durun. Artık yapacağınız her işlemin
bilgilerinizi gerçekten yok edeceğini, kurtarılabilme şansını düşüreceğini ve
profesyonel bir hizmet için kat kat daha fazla ücret ödemek zorunda
kalacağınızı unutmayın.
İkincisi CIH-RECO programıdır. Bu program
Microworld/F-Secure tarafından yazılmıştır. Program onarım işlemini çok hızlı
bir şekilde gerçekleştirmektedir. Ama maalesef olaya yaklaşımı ve programlama
tekniği açısından çok zayıf ve hatalara açık bir programdır. Bu program, anti
virüs firmalarının aynı zamanda veri kurtarma işi ile de uğraşmamaları
gerektiğinin açık bir kanıtıdır.
1) Program Windows altında da çalışmakta ve
işlem yapmaktadır!
2) Bölüm tablosu ve boot sektör var ve doğru
olmasına rağmen işlem yapmaktadır!
3) Windows altında iken disk parametrelerini
yanlış belirlemekte ve sağlam yapıyı bozabilmektedir!
4) İşin asıl felaket olan yanı diskte FAT16
dosya sistemi olduğuna karar vermesi durumunda yapmaya kalkıştıklarıdır.
Kesinlikle yanlış ve yakışıksız bir durum!
Tüm bunlara rağmen bu programı kullanmayı
düşünenler varsa, riski göğüslemek kendilerine kalmış!
Cih virüsünün diskte oluşturduğu hasarı
otomatik olarak giderecek bir program yazmak mümkün değil mi? FAT12 ve FAT16
için kesinlikle mümkün değil. Fakat FAT32 için mümkün. Ancak bilgisayar
sistemlerinde kontrol altında tutulamayan o kadar çok olay ve parametre var
ki, çözüm ne kadar belirgin ve net olursa olsun, istisnalar bu çözümü
anlamsız kılabilmektedir. 2003 yılında FAT32 için Cih hasarını otomatik
olarak gideren bir program yazmayı ve bunu ücretsiz olarak dağıtmayı
düşünmüştük. Ancak, her zaman eleştirdiğimiz duruma düşmemek için bundan
vazgeçtik. Bu konudaki kesin kararımız, veri kurtarma fenomeninde en küçük
risklerin bile ihmal edilemeyeceği kanaati sonucunda ortaya çıkmıştır. Veri
kurtarma olaylarında risk almak kesinlikle yanlıştır.
|