Çernobil Virüsü
Çernobil (Chernobyl) virüsü, W95.CIH virüsünün bir türevidir.PE_CIH ya da Çernobil adıyla anılan bu virüs ilk defa Haziran 1998’de Tayvan’da görülmüştür.Windows 95 ve Windows 98 çalışan bilgisayarlarda etkin olmakta ve yayılmaktadır. Harekete geçeceği güne kadar kuluçka dönemine giren virüs, hareket günü geldiğinde bilgisayardaki sabit sürücülerin bölüm bilgisini silerek sabit sürücüdeki tüm bilgilerin kaybolmasına ve kullanılamaz hale gelmesine neden olur. Ayrıca bilgisayarın donanım yapısı izin veriyorsa ana kartın BIOS programını da silerek bilgisayarın tamamıyla çalışamaz hale gelmesine sebep olmaktadır. Bu özelliği ile de dünyanın donanıma zarar veren ilk virüsüdür. Çernobil virüsünün üç değişik varyantı mevcuttur. Bunlar arasındaki tek fark harekete geçme zamanlarıdır. Birinci varyantı her ayın 26'sında, ikinci varyantı 26 Nisan’da ve son varyantı da 26 Haziran’da harekete geçmektedir. Bu ay harekete geçen varyant ikinci varyantıdır. 26 Haziran’da da üçüncü varyantı harekete geçecektir.Virüsün ikinci varyantı olan Win.95.CIH.1003, her yılın 26 Nisan tarihinde tekrar etkin oluyor. Geçen yıllarda binlerce bilgisayar 26 Nisan'da zarar görerek büyük ölçüde maddi kayıp meydana gelmişti. Hatta en fazla zarar gören ülkelerin başında Türkiye geliyordu. İyi olan tek durum, virüsün bilgisayardaki verilerle beraber kendini de yok etmesiydi. Ancak "Çernobil" virüsü hala yedekleme cihazlarında, CD-ROM, disket ve ZIP sürücülerinde "uyuyor" olabilir. Bu durum, birçok bilgisayar kullanıcısı için büyük bir tehlike anlamına geliyor. Erken teşhis, tedaviden daha önemli. Ayrıca her antivirüs programı "Çernobil" kadar tehlikeli ve karmaşık virüslere karşı etkili olamıyor, bu yüzden antivirüs yazılımınızı seçerken iyi düşünmenizde fayda var.Virüsün verdiği ikinci zarar bulaştığı makinanın özelliklerine göre değişmektedir. 386 ve 486 tabanlı makinalarda kullanılan eski tip FLASH özelliği olmayan BIOS’ları etkileyemeyen virüs, yeni PENTIUM tabanlı işlemcilerin çoğunda kullanılan yeni chipset’li anakartlarla gelen FLASH BIOS’ları tamamen silerek makinanın kullanılamaz hale gelmesine sebep olmaktadır. Anakart üzerinde bulunan bir anahtar (jumper) FLASH BIOS’un güncellenmesini engeller fakat bu anahtar genelde açık olduğundan virüsün etkili olmasının önüne geçilememektedir. Bu anahtar’ı kapatmak virüs’ün makinanıza ikinci dereceden zarar vermesini engeleyecektir. Eğer BIOS’unuz silindiyse makinanız açılmayacak, başlangıçta ekranda herhangi bir görüntü oluşmayacaktır. Bu durumda makinanızı tekrar çalıştırabilmenizin tek yolu, yeni bir BIOS çip’i almak ya da yeni bir anakart almaktır. Çernobil virüsü 1998 yılında farkedilmiş olduğundan tüm anti virüs yazılım sirketleri dağıttıkları programlara bu virüsü tanıyan ve temizleyen eklentileri yapmışlardır.
26 Nisan'da bilgisayarlara büyük zarar veren Çernobil Virüsü'nü yazanlar arasında iki Türk de bulunuyor. Kendilerine ‘‘Çernobil Grubu’’ adını veren korsanlar,önceki yıllarda, internet'te yaptıkları duyuruda amaçlarının radyoaktif tehlikeye dikkat çekmek olduğunu savunarak virüsten zarar görenlerden özür diliyorlar. DÜNYADA bilgisayar sistemlerinde 4 milyar dolarlık zarara yol açan ‘CIH’ adlı Çernobil virüsünü yazanlar arasında iki Türk bilgisayar korsanı da bulunuyor. Kendilerini ‘‘Çernobil Grubu’’ adını veren bilgisayar korsanları, tüm dünyaya gönderdikleri elektronik posta ile, amaçlarının insanları nükleer tehlikeler konusunda uyarmak olduğunu savundular. ‘‘Bunu kimse unutmayacak!’’ konulu mesajda Çernobil Grubu'nun içinde iki Türk'ün de bulunduğu belirtilerek, şöyle denildi:‘‘Çernobil Grubu, bu virüsü tüm dünyaya radyoaktif santralların ne denli büyük tehlike olduğunu hatırlatmak için yazmıştır. Radyoaktif tehlike gözardı edilemez. Her ayın 26'sında Çernobil'i ve doğa katliamını hatırlayacaksınız.’’ Virüsün aslında zarar vermek için yazılmadığı belirtilen elektronik postada, ‘‘Bu virüs, radyoaktif atıklardan dolayı kirlenen dünyamız rahata kavuştuğu anda geri çekilecek ve anti-virüs programları da Internet üzerinden ücretsiz dağıtılacaktır’’ denildi.
Kimler, Nasıl Etkileniyor?
Çernobil Windows 95 ve Windows 98 işletim sistemlerini etkilerken, bilgisayarında Windows NT işletim sistemi kullananlar virüsten korunmayı başarıyorlar.
Etkili olduğu tüm sistemlerde birinci dereceden zararı, sabit diski formatlayarak verilerin kaybolması şeklinde gerçekleşmiştir. Kullanıcı sistemi (bilgisayarı)açmaya çalıştığında “BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER” şeklinde bir mesajla karşılaşır ve makinasını disketle açsa bile sabit diske erişemez. Kaybolan verilerin tekrar elde edilmesi çok zahmetli ve genelde başarıya ulaşması imkansız olan profesyonel bir çalıştırma gerektirir. Çernobil'in, her ayın 26’sında etkili olacağı tahmin ediliyor.Uzmanlar, virüsün bilgisayarların BIOS adı verilen çipine bulaşmamış olması halinde bilgisayarın tamamen sıfırlanarak kurtarılabileceğini ancak içindeki bilgilerin silineceğini belirtiyorlar. Virüs en büyük zararı ise, BIOS'una bulaştığı bilgisayarlara veriyor. Eğer BIOS'lar ‘‘flash BIOS’’ adı verilen türden ise bilgisayarların BIOS veya anakartlarının komple değiştirilmesi gerekebiliyor.Bulaştığı bilgisayarlardaki hard diskleri silecek ve veri kaybına yol açacaktır.Haziran 1998'de Kaspersky Lab, bu virüse karşı hafızadan silme dahil en etkili savunma teknikleri geliştiren ilk firma oldu. Virüsün aktive olmasıyla boot sector’e yerleşmesi ile sabit diskte yer alan ilk 1 Megabyte’lık verinin üzerine yazıyor ve sabit diskin ulaşılmasını engelliyor. (sabit diski formatlıyor.) Flash BIOS kullanan yeni anakartlara sahip makinalarda BIOS’u silerek makinanın bir daha açılmamasına sebep oluyor.
Virüs Nasıl Yayılıyor?
CIH virüsü, Windows 95/98 işletim sistemi altındaki EXE uzantılı program dosyalarına bulaşır. Virüslü program çalıştırıldığında virüs belleğe yerleşir ve diğer çalıştırılan ya da kopyalanan programlara bulaşmaya başlar. Kendilerini bu dosyaların içindeki boş alanlara bulaştırdıklarından, virüs bir dosyada parça parça bulunabilir ancak dosya boyutu aynı kalır.
Çernobil'de kopya SimCity kuşkusu; önemli ölçüde Internet kanalıyla yayılan ve virüs literatüründe ‘‘CIH’’ olarak adlandırılan Çernobil virüsünün Türkiye'deki yayılma kanalları arasında kopya bilgisayar programları da bulunuyor. Dünyanın en büyük yazılım kuruluşlarından biri, Türkiye'de yaptığı incelemede virüsün tezgahlarda 1 milyon liraya satılan SimCity 3000 adlı bilgisayar yununun kopya CD'lerinde bulunduğunu tespit etti. Bu arada DNet firması da Sin adlı oyunun orjinal demosunda bu virüse rastlandığını duyurdu. Virüs'ün bulaştığı bir diğer yazılım ise MP3 adı verilen ve dijital müzik dosyalarını çalmak için kullanılan Mplayer adlı program.
Virüsten Korunmak İçin:
Bunlara dikkat;
* Daha önce başka bilgisayarda kullandığınız bir disketi,cdyi kendi bilgisayarınızda kullanmadan önce virus programıyla taratın.
* Bilgisayarınızı üzerinde bir disket takılıyken açmayın.
* Üreticisi tarafından düzenli olarak güncellenen bir virüs programı kullanın.
* Internet'ten çektiğiniz dosyaları kullanmadan önce virüs programınızla test edin.
* Elektronik posta ile tanımadığınız kişilerden gelen programları kullanmayın.
* Ve en önemlisi, her ayın 26’sında faaliyete geçmesi beklenen virüsten korunabilmek için ayın 25’i akşamı veya daha öncesinde bilgisayarınızın tarihini ayın 27’si veya daha sonrası olarak değiştirin.