Win95.CIH (CIH, WinCIH, Spacefiller, Win32.CIH olarak da bilinir) Windows95, Windows98 ve
Windows NT'deki EXE dosyalarına bulaşan bir virüs. Bulaştığı bir programı
çalıştırırsanız, virüs yayılıyor, belleğe yerleşiyor ve ondan sonra diskteki
yüm EXE dosyalarına bulaşıyor. Virüs bulaşan program Windows NT'de düzgün
çalışmıyor, ama Windows 95/98 sistemlerde çoğu kez çalışıyor.
Win.CIH'in kodu çok küçük ve 1000 byte'den
az, bulaştığı dosyanın boyutunu uzatmıyor (32 bitlik EXE dosyalarında kulanılmayan
alana kodu yazıyor); bu yüzden dosya boyutlarından Bulaştığı dosyada kesintisiz
boş bir alan bulamazsa kendini parçalara bölüp, dosyanın diğer alanlarına
kopyalıyor; bu yüzden Win95.Spacefiller olarak da anılıyor. EXE dosyası
çalıştırıldığında bu parçalar tekrar birleşiyor ve virüs faaliyete geçiyor.
Virüsün kodu CIH metnini içerdiği için bu adla anılıyor.
Win95.CIH donanıma zarar verebileceği için
çok ciddi bir virüs. 26 Nisan'da (veya sürümüne bağlı olarak herhangi bir ayın
26'sında) harekete geçerek anakartların Flash belleğindeki BIOS verilerine zarar
verebileceği söyleniyor. Bu durumda artık çoğu anakartın iş göremeyeceği malum.
BIOS'a zarar verdikten sonra sabit diski okunmaz hale getireceğide söyleniyor.
Win95.CIH tüm BIOS korumalarını aşacak özelliğe sahip. Bu yüzden mevcut en
tehlikeli virüs. 1.2, 1.3, 1.4 gibi varyantlarıda bulunuyor.
CIH Belirtileri |
En son
piyasadaki bazı kopya Carmageddon 2 CD'lerinde bu virüse rastladık. Bu yüzden
Türkiye'de epey yaygın. WinZip programının "selfexractor" hatası vermesi,
Macromedia programlarının çalışmaması, Need For Speed ve Test Drive4 oyunlarında
"loading" bölümünden sonra oyundan çıkması virüsün bilgisayarınıza
bulaştığının belirtileri olarak sayılabilir.
Ayrıca outlok expresin açılışta kilitlenmesi, windowsu
üzerine kurarken rundll hatası vermesi, bilgisayarı kapat komutu verdiğinizde
kilitlenip kalması ve sık sık explorer hatası vermesi virüsün bulaştığına dair
en sağlam belirtilerdir.
Nasıl
TemizleniR? |
Virüsü aşağıda belirteceğimiz ve burada bulabileceğiniz yolardan
temizleyebilirsiniz. Ama temizlik sonrasında bazı dosyalarınızın bozulacağını
unutmamanız gerettiğinide hatırlatalım. Temizlik sonrası Windows düzgün
çalışıyor gibi gözüksede WinZip örneğinde olduğu gibi bazı programlar
bozulabiliyor, o yüzden Windows'a güven olmaz. Bu yüzden virüsü temizledikten sonra
Windows'u yeniden yüklemenizi öneririz. Hatta kullandığınız çöeşitlii Shareware
programlarınızıda baştan, temiz sürümlerini yüklemeniz gerekebilir.
Gelelim anti-virüs yazılımlarına... Bu
virüs için özel olarak üretilmiş programlardsan biri CleanCIH. Programı www.pspl.com/download/cleancih.htm
adresinden indirebilirsiniz. Programı temiz bir sistem disketine kopyalayıp, pc'nizi bu
disketle açtıktan sonra tarama yapmanız tavsiye edilir. Program DOS ortamında şöyle
çalışıyor: |
CleanCIH C:
(Tüm C Sürücüsünü Tarar) CleanCIH C:\Windows
(C:\Windows klasörünü ve alt klasörlerini tarar)
CleanCIH C:\ /AUTOCLEAN
(Tüm sürücüyü tarar, bulduğu WinCIH virüsünü otomatik olarak siler)
CleanCIH C:\ /Prompt
(Tüm sürücüyü tarar, bulduğu WinCIH virüsünü silmeden önce sizden onay ister)
CleanCIH tek başına
yeterli bir program değil, bazı ZIP dosyalarının içine bakamıyor. Ama açılış
disketinden çalışıp belleğe yerleşen WinCIH'e izin vermediği için önce bu
programı kullanmanızı tavsiye ediyorum. Sonra Windows ortamında çalışan AntiViral
Toolkit Pro'yu (AVP) öneriyorum. Bu Programı www.avp.com
adresinden indirebilirsiniz. Önce programı kurun, süresi doldu gibi uyarı mesajları
verecek, ama bu mesajı vermesine rağmen yinede çalışıyor. Biraz da programdan
bahsedelim. Programın Object bölmesinden belleği, sektörleri, dosyaları,
sıkıştırılmış dosya ve arşivleri tarama seçenekleri açabilir, hattapek çok
virüsü, hacker'ların kullandığı bazı trojanları tanıyan bu programı, tüm
dosyalarınızı taraması için All Files seçeneğini işaretliyerek kullanabilirsiniz.
Programın Actions bölümünde tarama ve
virüsü silme seçenekleri, Options bölümünde detaylı arama seçenekleri yer alıyor.
Bu seçenekleri işaretledikten sonra Location bölmesinde taranmasını istediğiniz
sürücülerinizi, üzerlerine çift tıklayarak seçebilir, Add Folder düğmesine
tıklayıp belirli bir klasörde de arama yaptırabilirsiniz. Burada Serach Now
düğmesine tıklayarak aramayı balatacaksınız. Program ayrıca sisteminize AVP
mönitör bileşenlerinide yükleyip, çalıştıracağınız dosyalarda tarama yapıyor.
Böylece sisteminize gelecektede virüs bulaşmasını önlüyor.
AVP dışında Norton AntiVirüs, e-Safe
gibi programların yeni sürümlerinin de bu virüsü buldukları belirtiliyor. |
|
|
