CIH Virüsü: Teknolojik Tarihin Dönüm Noktası
27 yıl önce, 26 Nisan 1999’da, CIH adı verilen 1 KB büyüklüğündeki bir virüs, dünya genelindeki yüzbinlerce Windows 9x makinesine saldırarak sabit diskleri sıfırladı ve anakart BIOS yongalarına çöp veriler yükledi. Bu olay, bilgisayar güvenliği açısından büyük bir tehlike arz eden bir dönüm noktasını simgeliyor. CIH virüsü, yalnızca yüksek performanslı bilgisayar sistemleri için değil, aynı zamanda sunucu sistemleri ve veri merkezi güvenliği için de önemli dersler içeriyor.
Virüsün Tarihçesi ve Etkisi
Tayvanlı üniversite öğrencisi Chen Ing-hau tarafından 1998’de yazılan bu virüs, tahminen 60 milyon bilgisayarı etkiledi ve yaklaşık 40 milyon dolarlık ticari zarara yol açtı. “Çernobil” olarak adlandırılan CIH, 1986’daki nükleer felaketin yıl dönümü ile örtüşen 26 Nisan’da aktif hale gelmesi nedeniyle bu ismi aldı. Virüs, yazılım kanalları üzerinden küresel olarak yayıldı ve kurbanlarının çoğu yasa dışı yazılım kullanıcılarıydı.
CIH’nin Teknik Yapısı
CIH, geleneksel virüslerden farklı bir teknikle kendini gizleyerek çalışıyordu. Dosyaların sonuna kod eklemek yerine; Windows Portable Executable dosyaları içindeki kullanılmayan boşlukları tarayarak payload’unu bu alanlara yaydı. Bu özellik, virüsün dosya boyutu kontrollerinden kaçmasını sağladı ve birçok antivirüs ürününün algılamasını zorlaştırdı.
Yüksek Performans ve Kernel Düzeyi Erişim
CIH aktif hale geldiğinde, işlemcinin 3. seviyesinden (user mode) 0. seviyeye (kernel mode) yükselerek dosya sistemi çağrılarını etkileyebiliyordu. Bu, her açılan yürütülebilir dosyanın sessiz bir şekilde enfekte olmasını sağladı. Sadece Windows 95, 98 ve ME sistemlerinde çalışırken, Windows NT bu virüse karşı immün oluyordu. Yüksek performans ihtiyacı olan üst düzey kullanıcılar ve sunucu sistemleri için bu tür bir tehdit, dikkatle incelenmesi gereken bir durumdur.
Veri Merkezi ve BIOS Saldırıları
CIH’nin etkisi kapsamlıydı; ilk olarak, boot sürücüsünün ilk megabaytını sıfırlayarak partition tablosunu yok etti ve diskin içeriğinin erişilemez hale gelmesine neden oldu. Ardından, anakart BIOS yongasına çöp verileri yüklemeye çalıştı. Bu saldırılar, belirli Intel 430TX tabanlı yonga seti kullanan sistemlerde gerçekleştirildi ve başarılı olursa, makinelerin tamamen çalışamaz hale gelmesine yol açtı. Sonuç olarak, veri merkezi yöneticileri ve sistem yöneticileri için bu tür tehditler, soğutma çözümleri ve işlemci mimarisi gibi konularda ön plana çıktı.
Sonuç ve Yasal Süreçler
Cihazlarda meydana gelen ciddi zararlar karşısında, Tayvanlı savcılar Chen’i suçlayamadı çünkü yerel yasalar gereği, kurbanların dava açması gerekiyordu. Chen, CIH’yi yazarken, antivirüs firmalarının ürünlerinin algılama kabiliyetlerini abarttığını düşündüğünü öne sürdü. Olay, Tayvan’da yeni bilgisayar suçları yasası çıkarılmasına yol açtı. Bu tür gelişmeler, özellikle yüksek performans gerektiren sistemlerde güvenlik önlemlerinin artırılmasına yönelik önemli bir motivasyon sağladı.
Kaynak: Tom’s Hardware verileriyle derlenmiştir.
