FORUM-TUGRA

Türkiye'nin Paylaşım Topluluğu
 
AnasayfaTakvimGaleriSSSAramaKayıt OlÜye ListesiKullanıcı GruplarıGiriş yap

Paylaş | 
 

 Çernobil(CIH) Virüsü

Önceki başlık Sonraki başlık Aşağa gitmek 
YazarMesaj
ATugra
Admin
Admin
avatar

Mesaj Sayısı : 20
Kayıt tarihi : 08/05/07

MesajKonu: Çernobil(CIH) Virüsü   Ptsi Mayıs 21, 2007 2:09 pm

CIH (Cernobil) VİRÜSÜ
CIH (Cernobil), virüsü sadece Windows95 ve Windows98 altında çalısan, bulasıcı ve
çok yaygın bir bilgisayar virüsüdür.
CIH Dos, NT , OS/2 gibi isletim sistemlerinde çalısmaz.
CIH isimli Cernobil diye bilinen virüsün diger isimleri ise söyledir:
PE_CIH, CIHV, SPACEFILLER, WIN32.CIH, CHERNOBYL, TSHERNOBYL,
TSERNOBYL
a- CIH virüsünün tarihi:
Bu virüs Haziran 1998de Tayvan'da çok yaygın olarak bulundu. Virüsü yazan kisi,
yerel bir internet konferansında virüsü faydalı bir program diye gönderdi. Bir hafta içinde
virüs, Avusturya, Avustralya, _srail, _ngiltere'de bulundu. Ayrıca bir çok ülkede de tespit
edildi (_sviçre, _sveç, USA,Rusya, Sili).
b- CIH virüsü nasıl çalısır, bulasır?
CIH virüsü, sadece Windows95 ve Windows98 executable ( .EXE uzantılı)
dosyalarına bulasır. Virüslü bir .exe dosyası çalıstırılıp virüs hafızada aktif oldugu zaman
sistemde çalıstırılan diger WIN95/98 .exe dosyalarına bulasmaya çalısır. Virüs kesinlikle
DOS da aktif degildir, sadece windows da çalısabilir. Eger bilgisayarı DOS modunda
(Command Prompt Only - Sadece Komut _slemi) açarsanız virüs hafızaya yüklenmez. Eger
Windows’dan DOS'a çıkarsanız (Restart Computer in MSDOS mode) virüs hafızadan çıkar.
Virüslü bir .exe dosyası ya baska bir arkadasınızdan veya dısardan bir disketle,cd-romla veya
internetten çektiginiz veya emailinizde size gönderilen bir .exe dosyası varsa ve bu .exe
dosyasını çalıstırırsanız size bulasır.
Bunların dısında baska bir sekilde bulasmaz.
Virüsde bazı programlama hataları oldugu için bazı bilgisayarlarda virüslü dosya çalıstırıldıgı
zaman sistem kilitleniyor.
Virüs sadece ayın belli tarihlerinde aktif oluyor. Bu virüsün 3 tane farklı tipi vardır:
Uzunluk _çerdigi Yazı Aktif olma tarihleri Yaygın mı?
1003 CCIH 1.2 TTIT Nisan 26 Evet
1010 CCIH 1.3 TTIT Nisan 26 Hayır
1019 CCIH 1.4 TATUNG Her ayın 26sinda Evet
Yukarıdaki tabloyu açıklayalım:
Uzunluk: Virüsün kapladıgı yer. Çok ilginçtir, bu virüsün bu kadar yayılma
sebeplerinden birisi de virüsün bir dosyaya bulastıgı zaman dosyanın boyutlarını
arttırmamasıdır. Virüs, dosyalardaki kullanılmayan boslukları bulup kendisini parça parça bu
bosluklara kaydetmektedir. Bu sekilde insanların gözünden kaçabilmektedir. Bu virüs aynı
zamanda türünün ilk örnegidir.
_çerdigi Yazı: Virüsün bulastıgı dosyalara yazdıgı bir yazı.
Aktif olma tarihleri: Virüs bu tarihler haricinde bulasmak dısında hiçbir islem
yapmamaktadır. Bu tarihlerde ise sisteme hasar verecektir.
Yaygın mı: Bu virüsün diger ülkelerde de yaygın olup olmayan türleri. Çok ilginçtir bugüne
kadar bize ulasan virüslerin çogu 1.3 türü idi. Sanırız Türkiye’de daha çok 1.3 türündeki virüs
yaygın.
c- Virüsün verdigi zararlar nelerdir?
Virüs iki türlü hasar vermektedir:
a) Flash BIOS’LAR: Özelliklerde Pentium ve Pentium-II islemcilerin kullanıldıgı
anakartlarda bulunan Flash Bios özelligi bilgisayarınızın yeni çıkan islemcileri desteklemesi
ve BIOS’larda olabilecek (2000 yılı gibi) yazılım hatalarına karsı yenilemenizi saglar. Bir
program ile bu BIOSların en son versiyonlarını internetten çekip Flash Biosa yazabildiginiz
gibi bu virüs de Flash Biosa yazabiliyor. Flash Biosu anlamsız ise yaramayan datalarla
dolduran bu virüs bilgisayarın ilk açılmasını saglayan bu kritik yazılımı ise yaramaz hale
getiriyor ve bilgisayarınızda kapkara bir ekranla bas basa kalıyorsunuz.
b) Harddiskler: Virüs harddisklerin MBR (Partition) ve Boot diye bilinen iki bölgesindeki
bilgilerin üzerine yazmakta ve onları da ise yaramaz bilgilerle doldurmaktadır. Bu durumda
harddisk saglam olsa bile , harddiske sistemin erismesinde gerekli olan bu yerlerdeki yanlıs
datalar bilgisayarınızın harddiskteki dosyalara erismesini engellemektedir.
Özellikle direkt biosdan erisim sistemi kullanan bu virüs BIOSlardaki virüs
korumasını da asmaktadır.
Ayrıca virüs rasgele bir sekilde disketteki dosyalara hasar da verebilmektedir. Bunun
yanısıra, virüsün harddiskin ilk 1Mblık alanını sildigi ve FAT (Dosya Tablosu) yapısını
bozdugu da bilinmektedir. Bu durumda ise bilgileri kurtarmak imkansız denilebilir. Ancak
Norton Utilities programlarından Unformat ile Ontrack firmasının Tiramisu programları bir
umut ısıgı olabilir.
Norton Utilities internet sayfasına www.symantec.com adresinden erisebilirsiniz.
Ontrack firmasının internet sayfasına www.ontrack.com adresinden erisebilirsiniz.
Virüs bu bahsedilen konular dısında hiç bir seye zarar vermez. Maalesef medyada
çıkan bazı haberler bizi bu konuda sizleri uyarma ihtiyacına yönlendirdi. Cdromların
epromlarının bozulması, SMS mesajları ile Cep telefonlarının bozulması gibi bir çok asılsız
haberlere lütfen inanmayınız.
Sadece size anlattıgımız gibi Flash bios ve harddiskdeki bilgilere zarar vermektedir.
d- Bu virüsden nasıl kurtulunur?
Bu konuyu iki sekilde ele alacagız.
a) Bilgisayarı hasar görmemis ama virüs olma ihtimali olanlar:
- Flash Bios:
Virüs tarafından flash biosu silinen kullanıcılara tavsiyemiz yeni bir anakart almadan
önce, flash bioslarını tamir ettirmeye çalısmalarıdır. Bu maliyeti yok denecek kadar az ama
bilgili eleman isteyen bir konudur.(Maalesef ülkemiz bilgisayar konusunda çok cahildir...)
Öncelikle Flash BIOS ufak bir programdır.
Eger elinizde daha önceden kaydetmis oldugunuz anakartınıza ait Flash Bios dosyası
varsa bu dosyadaki dataları bir eprom programlayıcısı olan bir elektronikçide bios çipinize
geri yükletebilirsiniz. Eger çipi siz söküp elektronikçiye götürecekseniz dikkatli olun.
Sökerken çipin bacakları hasar görebilir. Bu islem çok dikkatli yapılmalıdır. Bazı anakartların
Bios çipleri de sökülememektedir, bu durum daha ilerde ele alınacaktır.
Bu sitelerde BIOS update bölümünde gerekli talimatlarla birlikte en yeni Bios sürümlerini
bulabilirsiniz.
Eger baska bir tanıdıgınızda aynı bilgisayardan veya aynı anakarttan varsa onların
bilgisayarları saglam ise asagıdaki bios programları ile hem markasını ögrenebilir hem de
biosunu bir diskete kopyalayabilirsiniz.
Bu sekilde elinizde Biosunuzun bir kopyası olacak ve bunu bir elektronikçide bir
eprom programlayıcısı ile geri yükleyebileceksiniz. Bu islemi gerçeklestirmis arkadasları
tanıyorum kesinlikle mümkün ve basarılı sonuç veren bir islemdir.
Flash Biosun sökülemedigi eski anakartlarda ise durum biraz vahimdir.
Anlatacagım teknigin islerligi konusunda hiçbir garanti veremem , anlatacaklarım yukarda adı
geçen anakart sitelerinden alınmıstır. Ben hiç denemede bulunmadım bu yüzden ise yarayıp
yaramayacagını da bilemiyorum.
_htiyacınız olan :
1- ISA ekran kartı (Asusda optional demis yani gerekmeyebilir de ama emin degilim)
2- Çalısır durumda bir Floppy drive
3- _çinde sistem dosyaları , gerekli bios programları olan , flash biosunuz kopyasını da içeren
bir disket.
Config.sys koymayın, sistem dosyalarınız win95 sistem dosyalarından ziyade dos 6.22
olsun çünkü daha az hafıza kaplıyorlar. Gigabyte anakartların bios sayfalarında özellikle
windows95 sistem dosyalarını kullanmayın deniliyor. Gerekli programları ve sistem
disketinin bir kopyasını bu sayfada bulabilirsiniz. Tavsiyem autoexec.bat dosyasını öyle bir
ayarlayın ki kullanıcının hiç bir sey yapmasına gerek kalmadan , bootlayıp flash biosunuzu
otomatik geri yüklemesi...
Nasıl yapılacak?
1- Sistemdeki anakarta takılı butun kartları çıkarın sadece ISA ekran kartı kalsın.
2- Hazırladıgınız disketi (gerekli programları asagıdaki bölüme koyduk) floppy drive takın.
3- Sistemi power tusuna basın
4- Umarım ise yarar
5- Disketi çıkarmayı unutmayın.
Harddiskler:
CIH virüsü ile erisilmez durumdaki harddiskleri geri kazanmak için , diskeditor
denilen programlara ihtiyacınız var. Bu tür programlar, Norton Diskeditor, Winhex gibi
programlar kullanabilirsiniz.
En iyisi aynı harddiske sahip olan birinden partition ve bootları bir diskete kopyalayıp
kendi harddiskinize geri yüklemek.
Fakat dikkat etmeniz gereken önemli bir nokta, harddisklerin aynı formata ve
büyüklüklere sahip olmasıdır.
Örnegin , 6.4gb bir harddiskiniz var , bunu 2 partitiona ayırıp c ve d sürücüleri olarak
2 tane 3.2gb bir sekilde formatlarsanız ve gidip de sadece 6.4 gb olarak formatlanan bir
harddiske geri yüklerseniz, o zaman harddiski bilgisayara yanlıs tanıtmıs olursunuz ve
dosyalarınıza erisemezsiniz. Asagıda 2.1 gb ve 10.2 gblık quantum harddisk partition ve
bootlarını koyuyorum , dikkat bunların ikisi de sadece tek partitionlı harddiskler içindir, eger
harddiskinizi böldüyseniz bunları kullanmayın, bu harddisklerin FAT yapıları FAT32
biçimindedir, sakın FAT16 olan harddisklerde kullanmayın ve son olarak , olabilecek
hasarlardan dolayı biz sorumlu degiliz.
Eger bu yöntemler ise yaramaz ise, Norton Disk Doctor gibi programları tavsiye
ederim. Özellikle NDD / rebuild komutu harddiskte partition aratıp geri yükleyebilmektedir.
Dikkat edilmesi gereken bir nokta da, FAT32 denilen 2.1gbdan büyük harddisklerin tek parça
olarak formatlanmasını saglayan Microsoftun Windows95 OSR2 ve Windows98 de
destekledigi FAT sistemini Norton Utilities 2.0 For Windows ve üstü desteklemektedir.
(Norton Utilities For Windows ile dos programları da gelmektedir).
Ayrıca internette bir çok disk editör programlar bulunmaktadır, haksız rekabet gibi bir olay
olmasın diye Winhex isimli bir programın da ismini vereyim.
Biz hiç bir yazılım firması ile çalısmıyor, hiç bir sahsi çıkar iliskimiz de yoktur.
Tekrar ediyoruz, bu sayfada bilgiler ve programlardan dolayı olusacak hiçbir hasar
bizim sorumlulugumuzda degildir.
Umarım bu sayfadaki bilgiler isinize yaramıstır , bize virüsle ilgili merak ettiginiz
baska bir sey varsa email atarak sorabilirsiniz, genelde cevapları bu sayfaya ilave edecegiz.
e- Programlar:
1- Flash Bios programları: Bu programlar ile biosunuzu yedekleyebilir , yedeklerden geri
yükleyebilir veya yenileyebilirsiniz.
Asus Board Sayfasında bir çok FLASH BIOS programı var, hepsini
koyamayacagımdan size tavsiyem www.asus.com adresine gidip oradan gerekli dosyaları
almanızdır.
ctbios.zip - Bu programı çalıstırdıgınızda, bilgisayarınızın bios markasını ve internet
sayfalarını gösterir.
2- Harddisk programları:
system.zip - DOS 6.22 sistem disketi image dosyası, winimage gibi bir program ile bir
diske aktarın.
w98sys.zip - Windows 98 sistem disketi image dosyası, cd-romlarınızı da otomatik
olarak sisteme tanıtmaktadır.
q10.zip - Quantum Fireball 10.2Gb EL model harddisk partition ve boot image
dosyası, (FAT32 formatlı, tek partition, sakın baska türlü formatlanmıs harddisklere bunu geri
yüklemeyin).
3- Antivirus programları:
kill_cih.exe - Bu program windowsda aktif olan CIH virüsünün çalısmasını durdurur ,
hafızadan(memoryden) siler , ama harddiskten de temizlemeniz gerekir. Bu program sadece
virüsü durdurup antivirüs programlarının rahatça çalısmalarını saglar.
fp-307b.zip - F-prot antivirüsün en son dos versiyonu CIH dahil bir çok virüsü temizler,
üstelik bedava.
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör http://forum-tugra.my-goo.net
 
Çernobil(CIH) Virüsü
Önceki başlık Sonraki başlık Sayfa başına dön 
1 sayfadaki 1 sayfası

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
FORUM-TUGRA :: Forum-Tugra(Bilgisayar-İnternet-Hack) :: HACK :: Virüs Türleri-
Buraya geçin: