روز ششم اردیبهشت (26 آوریل) برای بسیاری از کاربران رایانه و شرکتها روز ناگوار و تلخی بود. در این روز بسیاری از رایانه ها که از Windows 9x (1) استفاده می کردند ناگهان در هنگام کار از کار افتادند و پس از راه اندازی دوباره پیامی مبنی بر این که دیسک سخت قادر به راه اندازی سیستم نیست می دادند و حتی اگر سیستم با دیسکت راه اندازی می شد، کاربران قادر به دسترسی به اطلاعات دیسک سخت رایانه نبودند. در بعضی موارد وضع از این هم بدتر بود و رایانه حتی از نمایش پیغام فوق نیز دریغ می کرد و صفحه سیاه نمایش از مصیبت بزرگتری خبر می داد.
درست حدس زده اید; ویروس چرنوبیل (2) ماشه را چکانده بود و تیر خلاص را به اطلاعات دیسک سخت و حتی BIOS سیستم زده بود.
شدت تخریب اطلاعات و رایانه ها در بعضی از شرکتها چنان شدید بود که مدیران وادار به تشکیل ستاد بحران شدند و دست به دامن هر کسی شدند که مدعی بود قادر به بازگرداندن اطلاعات می باشد. (3)
فاجعه بسیار عمیق بود; پای میلیونها تومان اطلاعات در میان بود و در غالب موارد به خاطر نبود نسخه پشتیبان از اطلاعات، زیان وارد شده غیر قابل جبران بود.
البته می توان گفت عملیات تخریبی ویروس چرنوبیل کسی را غافلگیر نکرد; زیرا از مدتها قبل رسانه های گروهی در سرتاسر جهان، تاریخ و نحوه عملکرد این ویروس را منتشر کرده بودند و حتی صدا و سیما نیز بیکار ننشسته بود، تا آنجا که خانم های خانه دار نیز از حمله قریب الوقوع این ویروس شرور مطلع بودند.
اخبار مصیبتهایی که ویروس چرنوبیل در اقصی نقاط گیتی به وجود آورده بود همه جا پخش شد و به دنبال آن اخبار گوناگونی از اظهار نظرها و راه حل های پیشنهادی از سوی افراد متخصص منتشر شد، هر چند که بسیاری از راه حل های ارائه شده کارساز نبود و می توان گفت فقط جنبه تبلیغاتی داشتند.
البته در مورد ویروس چرنوبیل بخت با کاربران ایرانی یار بود; زیرا علاوه بر اطلاع قبلی از حمله ویروس، از آنجا که 26 آوریل امسال مصادف با ایام سوگواری حضرت سیدالشهداءعلیه السلام بود، به دلیل تعطیلی شرکتها و ادارات، بسیاری از رایانه ها نیز خاموش بودند. اما با همه اینها ویروس چرنوبیل یک پیام بزرگ داشت: «خطر ویروسها را همیشه جدی بگیرید!» و بسیاری از کاربران متوجه شدند پشتیبان گیری مرتب از اطلاعات چقدر ارزشمند است.
ما در این نوشتار بر آن شدیم تا ضمن بررسی ویروس چرنوبیل، راه حلی نیز برای بازیابی اطلاعات از دست رفته ارائه کنیم.
ویروس چرنوبیل توسط برنامه های ضد ویروس به نام CIH شناخته می شود و دارای اسامی مستعار CIH. Spacefiller ,Win95/CIH ,PE_CIH نیز می باشد.
این ویروس فایل های اجرایی (EXE) مورد استفاده Windows NTق Windows9x (4) را آلوده می کند. زادگاه ویروس چرنوبیل تایوان است و برای اولین بار در خرداد 1377 (ژوئن 1998) شناسایی شد. تا به حال نسخه های متعددی و CCIH1.4 Tatung کشف شده است. نسخه 2.1 و 3.1 این ویروس فقط در 26 آوریل عملیات تخریبی خود را انجام می دهند و نسخه 4.1 که کمیاب تر نیز می باشد در بیست و ششم هر ماه میلادی فعال می شود.
سرعت انتشار ویروس چرنوبیل بسیار زیاد و در مقیاس جهانی بود. به یمن گسترش بزرگراه اطلاعاتی (اینترنت) و رواج ااهایی که به صورت غیر قانونی تکثیر و منتشر می شوند، چندان طولی نکشید که هر دستگاهی که از Windows9x استفاده می کرد میزبان این ویروس شد! (5)
روشی که ویروس چرنوبیل برای آلوده کردن فایل های EXE و همچنین رونویسی ROM BIOS به کار می برد برای ویروس شناسان جالب توجه بوده است. همان طور که پیشتر گفتیم این ویروس فایل های اجرایی Windows9x را با استفاده از API خود Windows آلوده می کند.
با وجود آن که انواع مختلف این ویروس دارای اندازه های 1003، 1010 و 1019 بایتی می باشند; اما اندازه فایل آلوده هیچ تغییری نسبت به قبل پیدا نمی کند و به همین دلیل بسیاری از برنامه های ضد ویروس نمی توانند متوجه آلودگی فایل شوند. این ویروس پس از آن که توسط اجرای فایل آلوده در حافظه مستقر شد، در کمین فایل های اجرایی دیگری که توسط Windows اجرا، باز یا کپی می شوند می نشیند. هنگامی که ویروس چرنوبیل طعمه خود را یافت، فضاهای خالی داخل فایل را شناسایی می کند و سعی می کند که خود را در این فضاهای خالی جاسازی کند. جالب است بدانید که در صورت لزوم این ویروس خود را تکه تکه می کند تا بتواند در فضاهای خالی فایل جاسازی شود.
البته ممکن است در حین این کار فایل اجرایی به حالت قفل درآید و دیگر اجرا نشود; اما با این ترفند برنامه های ضد ویروس قدیمی که ویروس چرنوبیل را نمی شناسند، متوجه آلودگی فایل اجرایی نمی شوند. هنگامی که ویروس چرنوبیل در حافظه مستقر است، منتظر روز موعود یعنی 26 آوریل است تا عملیات تخریبی خود را آغاز کند.
اگر در چنین تاریخی رایانه روشن و وارد Windows9x شود; به مجرد استقرار ویروس چرنوبیل در حافظه توسط اجرای یک فایل آلوده; 2048 قطاع ابتدایی دیسک سخت یعنی 1 مگا بایت اول آن توسط ویروس با داده های تصادفی و پوچ رونویسی می شود. در این صورت نقاط حساس و حیاتی دیسک سخت، یعنی قطاع راه انداز (6) ، جدول قسمت بندی (7) ناحیه FAT و فهرست اصلی (Root) گردونه C از بین می روند و در نتیجه دسترسی به اطلاعات سایر قسمتهای دیسک سخت غیر ممکن می شود.
شرارت ویروس چرنوبیل در این جا پایان نمی پذیرد، بلکه با رونویسی قسمت راه انداز ROM BIOS تکمیل می شود که در این هنگام امکان راه اندازی سیستم غیر ممکن می شود.
سؤالی که ممکن است مطرح شود این است که چگونه ممکن است ویروسی بتواند در حافظه ROM بنویسد؟ پاسخ این است که در سالهای اخیر استفاده از Flash RomD در برد اصلی اکثر رایانه ها رایج شده است. در Flash Rom این امکان وجود دارد که روالهای اولیه راه اندازی و روتینهای I/O توسط یک نرم افزار در تراشه BIOS نوشته شود. روی آوردن شرکتهای سازنده Bios Rom به این فن آوری به خاطر سهولت ارتقا و اشکال زدایی BIOS می باشد.
در انواع قدیمی تر BIOS که ROM EP نامیده می شوند، برای رفع اشکالات BIOS لازم بود که تراشه BIOS از برد اصلی جدا و با استفاده از پرتو ماوراء بنفش پاک و دوباره برنامه ریزی شود و این کار تنها توسط افراد و شرکتهای خاص ممکن بود. در حالی که Flash BIOS برنامه ریزی دوباره BIOS به سادگی توسط خود کاربر با استفاده از دیسک ارتقایی BIOS که توسط شرکت سازنده عرضه می شود، امکان پذیر است. البته Flash BIOS به صورت توکار از خود در برابر رونویسی غیر مجاز برنامه ها و یا تغییرات احتمالی به خاطرنویز (noise) های الکتریکی در هنگام خاموش و یا روشن شدن سیستم محافظت می کند; اما ظاهرا به دست آوردن کد و روش از کار انداختن حفاظت توکار Flash BIOS کار دشواری نبوده است زیرا ویروس چرنوبیل اولین ویروسی بوده است که با موفقیت توانسته است از سد آن بگذرد و با نوشتن یک بایت ناقابل در قسمت روالهای راه انداز BIOS کار آن را بسازد و رایانه بیچاره را فلج کند.
البته برای آن که بتوان به صورت مستقیم بر روی Flash BIOS نوشت به ولتاژ خاصی (5 یا 12 ولت) نیاز است که توسط جامپری بر روی برد اصلی تنظیم می شود و همین جامپر می تواند سدی در برابر دست اندازی ویروس چرنوبیل به BIOS باشد; لیکن متاسفانه برای این که ارتقای BIOS برای کاربران راحت باشد، غالبا این جامپر در وضعیتی تنظیم شده است که امکان رونویسی مستقیم BIOS را به برنامه ها از جمله ویروسها می دهد.
پیش گیری از ویروس چرنوبیل
اگر از عاری بودن رایانه خود از وجود ویروس چرنوبیل مطمئن نیستید، مطالب این بخش را جدی بگیرید; زیرا سهل انگاری ممکن است به قیمت از دست دادن اطلاعات و حتی از کار افتادن ROM BIOS سیستم شود.
با وجود آن که مدت زیادی از تاریخ 26 آوریل گذشته است، اما همان طور که گفتیم انواعی از ویروس چرنوبیل در بیست و ششم هر ماه میلادی فعال می شوند و حتی ممکن است با دستکاری نادرست تقویم سیستم توسط کاربر، انواع دیگر این ویروس نیز فعال شوند. برای پاکسازی و معاینه سیستم از وجود ویروس مراحل ذیل را انجام دهید:
1- با استفاده از دفترچه برد اصلی، جامپر مربوط به BIOS را در وضعیتی قرار دهید که از رونویسی مستقیم Flash Rom توسط برنامه ها جلوگیری شود.
2- تقویم سیستم را توسط برنامه پیکره بندی (Setup) قبل از ورود به برنامه های نرم افزاری روی هارد بررسی کنید تا مطمئن شوید که مطابق با تاریخ 26 آوریل یا به طور کلی بیست و ششم هیچ ماهی نباشد.
3- رایانه را با یک دیسک که در مقابل نوشتن محافظت شده است از طریق Dos راه اندازی کنید.
توجه کنید که با راه اندازی سیستم با Windows9x ممکن است ویروس از طریق فایل های آلوده در حافظه مستقر شود.
4- با استفاده از جدیدترین نسخه برنامه ضد ویروس دیسک سخت خود را معاینه کنید (8) و سپس در صورت کشف فایل آلوده آن را پاکسازی کنید.
5- پس از آنکه خیالتان از وجود ویروس چرنوبیل در رایانه راحت شد، می توانید سیستم را دوباره توسط Windows9x راه اندازی کنید; اما فراموش نکنید که خطر ویروس ها همیشه باقی است و بهتر است که همیشه سیستم خود را با جدیدترین برنامه های ضد ویروس محافظت نمایید. توصیه می شود در روز بیست و پنجم هر ماه میلادی تقویم سیستم خود را دو روز جلو ببرید تا از این طریق به ویروس چرنوبیل رودست بزنید.
پس از حمله ویروس
اگر رایانه شما دچار حمله وحشیانه ویروس چرنوبیل شده است; چنانچه صفحه نمایش رایانه در هنگام راه اندازی روسیاه است و چیزی نشان نمی دهد، بدانید که BIOS سیستم توسط ویروس رونویسی شده است. در این صورت باید برد اصلی را به شرکت های خاصی که برای این کار اعلام آمادگی کرده اند بفرستید تا ROM BIOS دوباره برنامه ریزی شود و یا در صورت لزوم تراشه آن تعویض شود.
اما مشکل بزرگتر که معمولا خسارت چند هزار تومانی تعویض تراشه BIOS ROM در برابر آن ناچیز می نماید، بازیابی اطلاعات دیسک سخت است. از گوشه و کنار راههای مختلف و حتی عجیب و غریبی برای بازیابی اطلاعات دیسک سخت به گوش رسیده است اما با بررسی این راهها متوجه می شویم که غالبا غیر عملی هستند و یا آن قدر پیچیده اند که انجام آنها را از عهده بیشتر کاربران خارج است.
ما در این نوشتار می کوشیم با ارائه ساده ترین راهها شما را در امر بازیابی اطلاعات دیسک سخت یاری کنیم.
اگر ظرفیت دیسک سخت آسیب دیده کمتر از 2 گیگابایت است و تمام آن به گردونه C اختصاص یافته است، کافی ست سیستم را با دیسکت راه اندازی کنید و با استفاده از برنامه FDISK بار دیگر دیسک سخت را قسمت بندی کنید و تمام ظرفیت آن را به Primary Dos اختصاص دهید و سپس با راه اندازی سیستم و با اجرای فرمان Unformat C:/U آن را بازیابی کنید. البته فقط اطلاعات موجود در شاخه ها بازیابی می شوند و فایل هایی که در فهرست اصلی قرار داشته اند بازیابی نخواهند شد.
اما اگر ظرفیت دیسک سخت شما بیشتر از 2 گیگا بایت است و یا این که تعداد گردونه های آن بیش از یکی می باشد گرفتاری بیشتری خواهید داشت.
در این موارد باید پس از راه اندازی سیستم با دیسک، برنامه NDD از مجموعه برنامه های Norton Utilities را اجرا کنید. (9) برنامه NDD در ابتدا سعی می کند تا گردونه های سیستم را شناسایی کند و پس از برخورد با دیسک سخت شما که غیر قابل دسترسی شده است، از شما برای این اشکال کسب تکلیف می کند. بگذارید NDD کار خود را برای یافتن گردونه های دیسک سخت از اولین قطاع دیسک سخت آغاز کند و شما نیز در تمام مواردی که NDD با نمایش پنجره ای برای ادامه کار و عملیات مرمت کسب تایید می کند، اجازه ادامه عملیات را بدهید.
اگر عملیات NDD با موفقیت انجام شود با راه اندازی سیستم متوجه خواهید شد که گردونه D به نام C به D و... تغییر یافته اند و در واقع گردونه ا واقعی مفقود شده است. دلیل آن نیز روشن است زیرا برنامه NDD به خاطر رونویسی ناحیه FAT و ROOT توسط ویروس نتوانسته است هیچ نشانه ای دال بر وجود گردونه C پیدا کند.
شما می توانید پس از کپی کردن اطلاعات حساس و ارزشمند سایر گردونه ها به رایانه دیگر، در صورتی که اطلاعات گردونه C واقعی، ارزشی ندارد، با استفاده از FDISK دوباره دیسک سخت را قسمت بندی و سپس Format کنید; اما اگر اطلاعات گردونه C برای شما قابل چشم پوشی نیست لازم است دیسک سخت را نزد شرکتهایی که در امر بازیابی اطلاعات از دست رفته دیسک سخت تخصصی دارند بفرستید تا شاید آنها بتوانند اطلاعات گردونه C را نیز بازیابی کنند. (10)
البته روشی که ما پیشنهاد کردیم در عین سادگی، در گردونه های D به بعد دیسک سخت قطعا نتیجه بخش است و ضمنا باز هم امکان بازیابی اطلاعات گردونه C توسط متخصصان وجود دارد.
در پایان دوباره توصیه می کنیم که خطر ویروسها را جدی بگیرید و برای مقابله با آنها حتما رایانه خود را به آخرین نسخه های ضد ویروس مجهز کنید و به طور مرتب از اطلاعات مهم و ارزشمند خود نسخه پشتیبان تهیه کنید.
پی نوشتها:
1 -منظور از نسخه های Windows 95 تا Windows 98 می باشد.
2 - .Chernobyl
3 - متاسفانه بسیاری از این مدعیان تنها کاری که کردند تکمیل عملکرد تخریبی ویروس بود و امکان بازیابی اطلاعات را هم برای دیگران سد کردند.
4 -بعضی اخبار تایید نشده حاکی است که نسخه هایی از Windows 9x که توسط شرکت میکروسافت عرضه شده اند نیز آلوده به ویروس چرنوبیل بوده اند.
5 - البته این ویروس نمی تواند عملیات تخریبی خود را در Windows NT انجام دهد.
6 - Boot Record
7 - Partition Table
8 - می توانید آخرین نسخه برنامه ضد ویروس را از سازمان آموزش کامپیوتر تهیه کنید.
9 - استفاده از نسخه Norton Utilities 8.0 را توصیه می کنم.
10 - فراموش نکنید اطلاعات بازیابی شده را حتما برای اطمینان از آلوده نبودن به ویروس با برنامه ضد ویروس معاینه و پاکسازی کنید.