Win95.CIH

Kisaca Win95.CIH Win95.CIH (CIH, WinCIH, Spacefiller, Win32.CIH olarak da bilinir) Windows95, Windows98 ve Windows NT'deki EXE dosyalarina bulasan bir virüs. Bulastigi bir programi çalistirirsaniz, virüs yayiliyor, bellege yerlesiyor ve ondan sonra diskteki yüm EXE dosyalarina bulasiyor. Virüs bulasan program Windows NT'de düzgün çalismiyor, ama Windows 95/98 sistemlerde çogu kez çalisiyor.

Win.CIH'in kodu çok küçük ve 1000 byte'den az, bulastigi dosyanin boyutunu uzatmiyor (32 bitlik EXE dosyalarinda kulanilmayan alana kodu yaziyor); bu yüzden dosya boyutlarindan Bulastigi dosyada kesintisiz bos bir alan bulamazsa kendini parçalara bölüp, dosyanin diger alanlarina kopyaliyor; bu yüzden Win95.Spacefiller olarak da aniliyor. EXE dosyasi çalistirildiginda bu parçalar tekrar birlesiyor ve virüs faaliyete geçiyor. Virüsün kodu CIH metnini içerdigi için bu adla aniliyor.

Win95.CIH donanima zarar verebilecegi için çok ciddi bir virüs. 26 Nisan'da (veya sürümüne bagli olarak herhangi bir ayin 26'sinda) harekete geçerek anakartlarin Flash bellegindeki BIOS verilerine zarar verebilecegi söyleniyor. Bu durumda artik çogu anakartin is göremeyecegi malum. BIOS'a zarar verdikten sonra sabit diski okunmaz hale getirecegide söyleniyor. Win95.CIH tüm BIOS korumalarini asacak özellige sahip. Bu yüzden mevcut en tehlikeli virüs. 1.2, 1.3, 1.4 gibi varyantlarida bulunuyor.

CIH Belirtileri

En son piyasadaki bazi kopya Carmageddon 2 CD'lerinde bu virüse rastladik. Bu yüzden Türkiye'de epey yaygin. WinZip programinin "selfexractor" hatasi vermesi, Macromedia programlarinin çalismamasi, Need For Speed ve Test Drive4 oyunlarinda "loading" bölümünden sonra oyundan çikmasi virisün bilgisayariniza bulastiginin belirtileri olarak sayilabilir. Ayrica outlok expresin açilista kilitlenmesi, windowsu üzerine kurarken rundll hatasi vermesi, bilgisayari kapat komutu verdiginizde kilitlenip kalmasi ve sik sik explorer hatasi vermesi virüsün bulastigina dair en saglam belirtilerdir.

Nasil Temizlenir

Virüsü asagida belirtecegimiz ve burada bulabileceginiz yolardan temizleyebilirsiniz. Ama temizlik sonrasinda bazi dosyalarinizin bozulacagini unutmamaniz gerettiginide hatirlatalim. Temizlik sonrasi Windows düzgün çalisiyor gibi gözüksede WinZip örneginde oldugu gibi bazi programlar bozulabiliyor, o yüzden Windows'a güven olmaz. Bu yüzden virüsü temizledikten sonra Windows'u yeniden yüklemenizi öneririz. Hatta kullandiginiz çöesitlii Shareware programlarinizida bastan, temiz sürümlerini yüklemeniz gerekebilir.

Gelelim anti-virüs yazilimlarina... Bu virüs için özel olarak üretilmis programlardsan biri CleanCIH. Programi indirmek icin [ Click ]. Programi temiz bir sistem disketine kopyalayip, pc'nizi bu disketle açtiktan sonra tarama yapmaniz tavsiye edilir. Program DOS ortaminda söyle çalisiyor: CleanCIH C: (Tüm C Sürücüsünü Tarar)

CleanCIH C:\Windows (C:\Windows klasörünü ve alt klasörlerini tarar)

CleanCIH C:\ /AUTOCLEAN (Tüm sürücüyü tarar, buldugu WinCIH virüsünü otomatik olarak siler)

CleanCIH C:\ /Prompt (Tüm sürücüyü tarar, buldugu WinCIH virüsünü silmeden önce sizden onay ister)

CleanCIH tek basina yeterli bir program degil, bazi ZIP dosyalarinin içine bakamiyor. Ama açilis disketinden çalisip bellege yerlesen WinCIH'e izin vermedigi için önce bu programi kullanmanizi tavsiye ediyorum. Sonra Windows ortaminda çalisan AntiViral Toolkit Pro'yu (AVP) öneriyorum. Bu Programiwww.avp.com adresinden indirebilirsiniz. Önce programi kurun, süresi doldu gibi uyari mesajlari verecek, ama bu mesaji vermesine ragmen yinede çalisiyor. Biraz da programdan bahsedelim. Programin Object bölmesinden bellegi, sektörleri, dosyalari, sikistirilmis dosya ve arsivleri tarama seçenekleri açabilir, hattapek çok virüsü, hacker'larin kullandigi bazi trojanlari taniyan bu programi, tüm dosyalarinizi taramasi için All Files seçenegini isaretliyerek kullanabilirsiniz.

Programin Actions bölümünde tarama ve virüsü silme seçenekleri, Options bölümünde detayli arama seçenekleri yer aliyor. Bu seçenekleri isaretledikten sonra Location bölmesinde taranmasini istediginiz sürücülerinizi, üzerlerine çift tiklayarak seçebilir, Add Folder dügmesine tiklayip belirli bir klasörde de arama yaptirabilirsiniz. Burada Serach Now dügmesine tiklayarak aramayi balatacaksiniz. Program ayrica sisteminize AVP mönitör bilesenlerinide yükleyip, çalistiracaginiz dosyalarda tarama yapiyor. Böylece sisteminize gelecektede virüs bulasmasini önlüyor. AVP disinda Norton AntiVirüs, e-Safe gibi programlarin yeni sürümlerinin de bu virüsü bulduklari belirtiliyor.