Evet sonunda kimsenin yeterince önemsemediği WinCIH(Chernobly) virüsü Türkiye’yi de vurdu. Bugün herkes WinCIH dan bahsediyor. Birçok şirketin oldukça fazla sayıda makinası kullanılmaz duruma gelmiş.(Bunlar arasında herkesin bildiği holding’ler, devlet kuruluşları, Hava yolları, Silahlı kuvvetlerde var.) Bu sonuçta tedbirsiz kullanıcılar ve anakart üreticilerinin de suçu var. Kullanıcılar düzenli olarak bir antivirüs yazılımı kullanmamak ve backup almamak, anakart üreticileri ise donanımsal olarak BIOS yazma koruması yapabilecekleri halde bunu ihmal etmekten suçlu.
Günümüzde Flash Memory’ler (BIOS, Firmware vb.) hemen her yerde kullanılıyor. Anakartınızda, ekrankartınızda, SCSI kartınız da kısaca her yerde. Flash Memory, üreticiler için bulunmaz fırsat, her değişiklik ve geliştirmede koy internet’e yeni code’u insanlar alıp sistemlerini gücellesinler. Bu çok güzel, ancak sisteminizdeki BIOS yeni nesil anakartlarda hiç bir şekilde korunmuyor.
Bazı anakartlarda BIOS ayarları içinde BIOS update aktif ya da pasif yapılabiliyor ama bu da bir koruma sağlamıyor. Kesin çözümiçin donanımsal olarak bir koruma sağlanması gerekiyor. Flash Memory’ler de gerekli gerilimler doğru pinlerine uygulandığında tüm BIOS code’u yazma koruması altına alabiliyor. Ancak bazı Intel anakartları dışından buna pek dikkat eden yok.
Şimdi dönelim WinCIH virüsümüze. Bulaşma şekli olarak en baş neden, virüs bulaşmış dosyaları İnternet’den çekip çalıştırmanız ya da başkalarından aldığınız virüs bulaşmış dosyaları kendi sisteminizde çalıştırmanız. WinCIH özellikle system ve diğer executable (.EXE) file’lara bulaşıyor. WinCIH bulaşır bulaşmaz aktif hale geçmiyor önce bir kuluçka dönemi var. Bu dönem her ayın 26’sı ya daNisan 26, Haziran 26 gibi özel günlerde aktif oluyor. Ancak tamamen aktif olmadan önce kendini, daha önce sorunsuz çalıştırdığınız programlar veya daha önce sorunsuz açtığınız bir WINZIP file’ının durup dururken bozulması gibi yollarla gösteriyor. Virüs harddiskinizin boot bloğunu da yok edip kullanılmaz hale getirebiliyor ve daha kötüsü Flash Memory’nizi(BIOS) silip sisteminizi bir daha açılamaz hale getiriyor.
Şimdi önce sistemdeki CIH virüsünü temizlemeyi daha sonra da BIOS’u silinmiş sistemleri kurtarmanın yolunu anlatmaya çalışacağım.
Öncelikle hafızadaki virüsü bulup silmemiz gerekiyor bunun için Symantec’in KILL_CIH tool’u kullanılabilir. Bu program çalıştırıldığında hafızada CIH virüsünü arıyor ve bulursa imha ediyor. Bişey bulamayıp şunun gibi bir mesaj verirse sorun yok. “The W95.CIH virus was not found in memory“ ancak “The W95.CIH virus was found in memory. The W95.CIH virus has been successfully disabled. You can now run the Norton AntiVirus to remove any infections from files.” şeklinde bir mesaj alırsanız virus bulunmuş ve ana hafızadan silinerek pasif duruma getirilmiştir.
Şimdi tamamen temizlemeye başlayabiliriz. Bunun için önce aşağıda verdiğim linkden ya da Symantec’den gerekli antivirüs programını çekmelisiniz, sonra hardiskinizin “C” partisyonunda ismi “NAVC” olan bir yeni klasör oluşturun. Çektiğiniz file’ı bu klasöre kopyalayın. Sonra sisteminizi temiz olduğundan emin olduğunuz bir disketten açın ve az önce yarattığınız klasöre gidin.(Önce “c:” ile C’ye geçip daha sonra yine “cd NAVC” ile antivirüs programının bulunduğu klasöre gelin) Daha sonra ” NAVC10″ yazarak enter’a basın size sıkıştırılmış file’ı açıp açmayacağınızı soracak “YES” diyip geçin böylece antivürüs klasörünüze açıldı. Şimdi “NAVC C: /doallfiles /repair” komutu ile tüm file’lar taranacak ve WinCIH1.x virüsü temizlenecek. Bu işlem sisteminize göre epey uzun sürebilir. Buraya kadar anlattıklarım, WinCIH’ı sisteminize zarar vermeden önce fark ederseniz yapacaklarınız.
Sisteminize bir zarar geldi ise aşağıda verdiğim data recovery programları ile harddiskinizdeki bilgileri kurtarmanız olası. Fat16/32 için olan recovery utility’si iş görüyor. Aşağıdaki tüm platformlar için olan Tiramisu isimli program ise tüm platformlarda sorunsuz çalışıyor. Önemli bir hususda recovery işlemini aynı hdd üstünde değil farklı bir hdd’ye yapmanız. Bu sayede datalarınız başka bir programla denemek için sürekli sağlam kalır aksi taktirde kurtarma ümidiniz olan data’larada zarar verebilirsiniz. Tiramisu aşağıdaki problemlere çözüm getirebiliyor.
- Finding and recovering deleted partitions
- Drives that have been fdisked or formatted
- Damage from many types of computer viruses
- Corrupt or missing Master Boot Record (MBR)
- Corrupt or missing BIOS Parameter Blocks (BPB)
- Corrupt or missing partition tables
- Corrupt or missing FAT tables
- Corrupt or missing Root Directory
Ancak bu programı daha önce kullanmış ve bu işlerde tecrübesi olan birinin kullanması daha mantıklı çünkü kurtarayım derken elinizdeki data’lardan da olma şansı var.
Şimdi gelelim en kötü senaryoya yani BIOS’unuz silindi ise ne yapacağınıza. Eğer anakartınız Asus marka ise şanslısınız. Çizgi Eletronik 1 hafta süre ile Asus marka anakartınızı her nerden almış olursanız olun yardımcı olma sözü veriyor, aynı şekilde Abit kartları içinde Tellioğlu aynı uygulamayı yapıyor ancak başka marka ise aldığınız yere baş vurmak zorundasınız. Eminimki diğer anakart satıcılarıda aynı uygulamayı yapacaklardır.
Pc’ler sadece açılışta BIOS’daki code’u okur gerekli işlemleri sırası ile yapar ve BIOS’u ana hafızaya taşıyarak bir daha Flash Memory’nize ulaşmaya çalışmaz bu yüzden çok dikkatli olmak şartı ile aşağıdaki işlemleri sırası ile yaparsanız risk olmasına rağmen (herşey kitabına göre yapılırsa çok düşük bir bozulma riski var) sorunsuz halledebilirsiniz.
Şimdi gelelim adım adım neler yapabileceğinize.
1- Öncelikle kendi anakartınızla aynı marka ve modelde bir anakart bulmalısınız ya da yakın bir model. (Örneğin P2B’ye yakın ,P2B-B P2B-F gibi..)
2- Bulduğunuz sağlam sistemi DOS’dan temiz bir disketle boot edin. Bu boot disketine önceden anakartınızın Flash Memory update software’ini ve BIOS image file’ını koyun. (BIOS file’ını bulamazsanız. Flash Utility’lerinin hepsi sağlam makinadaki BIOS’u disketinize yazabilir.)
3- Sisteminiz Boot ettikten sonra dikkatli bir şekilde bu sağlam makinadaki BIOS çipini çıkarın. Bunun için özel aletler bulunsa da çok dikkatli olmak şartı ile başka bir araçla da çıkarabilirsiniz. BIOS’u çıkarırken kısa devre yapmamaya ve BIOS’un bacaklarına zarar vermemeye çalışın.
4- Kendi anakartınızdan söktüğünüz bozuk BIOS’u gene çok dikkatli olarak sağlam makinayı takın. Ve standart bir BIOS update işlemi gibi BIOS’unuzu update edin.( Eğer daha önce BIOS update etmedi iseniz. Çizgi Elektronik’in sitesindeki FAQ’lardan BIOS update yazısını bir okuyun.) Eğer update işleminde herşey yolunda giderse, bu makina sorunsuz çalışırsa, update yaptığınız makinayı kapatın.
5- Daha sonra bu makinadaki update ettiğiniz BIOS’unuzu kendi makinanıza takın. Update için kullandığınız makinanın BIOS’unuda yerine takın.
6- Her iki makinada sorunsuz açılıyorsa sorun kalmamış demektir.
Ancak bu işlemleri uygularken sağlam bilgisayarada ciddi zararlar verme şansınız var bunu göz ardı etmeyin. En güzeli anakartınızı ya da bilgisayarınızı aldığınız yerin bu sorunu çözmesini isteyin ve BIOS değişecek bu anakartı atmalısınız ve yeni bir anakart almalısınız gibi şeylere inanmayın. Eğer zaten anakartınız onboard bir BIOS’a(anakart üzerine lehimli sabit) sahipse aldığınız yere başvurmaktan başka çareniz yok gibi.
Merak edenler aşağıdaki linkten 1998 tarihli orjinal virus kaynak kodunu bulabilirler. İyi amaçlar ile kullanmanız dileği ile.
Antivirus
KILL_CIH
Norton Antivirus (WinCIH için)
Data Recoveries
Tiramisu for all Platforms
ya da,
Http://www.symantec.com/avcenter/kill_cih.htm
Http://www.recovery.de
Virus Source Code
WinCIH 1998 Assembly Source Code