Zararlı yazılım tespit etmenin 9 kolay adımı

Neredeyse her hafta bir kullanıcının bilgisayarını temizlerken zararlı yazılımlarla karşı karşıya kalıyoruz ve onlara tavsiyeler veriyoruz. Böyle durumlarda bazen onlarca zararlı yazılım görüyoruz ve bunların çoğu da kullanıcıya sahte antivirüs (AV) yazılımları yükletmek için her numarayı deneyen zararlı yazılımlardan oluşuyor. Ama çok daha ciddi bazı durumlarda kişisel verileri kilitleyen fidyeci yazılımlar da buluyoruz.

Erdal Kaplanseren

Bu durum karşısında neredeyse tüm bu kullanıcılar doğal olarak antivirüs programlarının hatalı olduğundan ve uluorta bir zararlı yazılımı bile tespit edememesinden şikayet ediyorlar.

Bunun üstüne bir de bu antivirüs yazılımı, kullanıcıyı “koruma” karşılığında bilgisayar performansını baltalıyorsa, işler daha da sinir bozucu hale gelebiliyor.

Antivirüs yazılımlarının hiçbiri zararlı yazılımların hepsini tespit edemez. Bunun nedeni, profesyonel zararlı program yazarları tarafından üretilen yazarlı yazılımların ve botnet ekosistemlerinin, tespit edilmeye başladığında kendilerini otomatik olarak güncelleyecek şekilde tasarlamasıdır. Antivirüs motorları icabında milyonlarca zararlı yazılım çeşidi tespit edebiliyorlar ama daima bir adım geride kalmanın ötesine geçemiyorlar; çünkü keşfedilmeyi önlemek için kendi kendini değiştiren yazılımları bulamıyorlar.

Bazı ürünlerin diğerlerinden daha iyi puan almasına rağmen, genel doğruluk oranları her zaman yukarı ve aşağı gider ve bu oranlar dönem dönem değişir. Ama gene de tekrarlıyoruz; hiçbir AV ürünü %100 doğru değildir. Hiçbir ürün, bir yıl boyunca süper doğru olmayacaktır.

Kitlelere maksimum zararlı yazılım tespiti

Yapmanız gereken şu: Kararlı ve kabul gören bir başarı geçmişine sahip, sisteminizi yavaşlatmayan bir antivirüs ürünü kurun. Daha sonra Windows Sysinternals Process Explorer‘ı veya Autoruns‘ı kullanarak, hali hazırda çalışan yürütülebilir dosyaları, elde edebileceğiniz en iyi doğruluğu (küçük bir yanlış alarm yüzdesiyle) sunan VirusTotal‘ın 67 antivirüs motoruna karşı test edin.

Aşağıdaki adımları sırayla tüm Windows bilgisayarlarınızda uygulayın

1- Bilgisayarınızın internete bağlı olduğundan emin olun.

2- Microsoft sitesi olan Sysinternals.com‘a gidin.

3- Process Explorer‘ı ve Autoruns‘ı indirin. Sitedeki her şey gibi bu ikisi de ücretsiz.

4- Bu programları unzip edin. Process Explorer için procexp.exe’yi kullanın. Autoruns için autoruns.exe’yi kullanın (autorunsc.exe ise programın komut satırı sürümü oluyor).

5- Üzerine sağ tıklayın ve program dosyasını Yönetici olarak çalıştırın ki böylece Yönetici’nin güvenlik bağlamında çalışsın.

6- Önce Process Explorer’ı çalıştırın (Autorun’ları daha sonra açıklayacağız). Ekranın üst kısmındaki Seçenekler menüsünü seçin.

7- VirusTotals.com’u ve Check VirusTotals.com’u seçin.

8- Bu, çalıştırılan tüm yürütülebilir dosyaları Google tarafından işletilen ve bakılan VirusTotal web sitesine gönderir. Lisansı kabul etmek için bir mesaj alacaksınız; Evet olarak cevaplayın. Bu esnada açılan VirusTotal web sitesini kapatabilir ve Process Explorer’a geri dönebilirsiniz.

9- Process Explorer’da Virüs Total etiketli bir sütun göreceksiniz. Ya Hash Submitted (ilk birkaç saniye boyunca) diyecek ya da size 0/67, 1/67 ya da 14/66 vb. gibi bir oran verecek.

Sistemi doğru kullanmak için dikkat edin

Tahmin edebileceğiniz gibi, görüntülenen VirusTotal oranı, VirusTotal’da kaç tane antivirüs motorunun seçilen yürütülebilir dosyanın kötü niyetli olduğunu bildirdiğini gösteriyor. Şimdilik antivirüs motorlarının listesi 67, ancak bu rakam her zaman yukarı ve aşağı olmak üzere değişiyor. Bazı çalıştırılabilir dosyaların neden bazı motorlar tarafından denetlenemediğini anlayamadık, ancak paydadan (alt sayı) bağımsız olarak eğer sayaç (çizginin üstü) sıfırdan büyükse, o zaman elinizde bir zararlı yazılım var demektir.

Bununla birlikte, eğer sonuç 1/57 veya 2/57 çıkıyorsa böyle bir sonuca yanlış alarm denir yani muhtemelen programda zararlı bir unsuz bulunmamaktadır. Öte yandan, yalnızca bir motor tarafından tespit edilebilen gerçekten zararlı bir yazılımla da karşılaştık, bu yüzden söz konusu programın adını ve satıcısının tanıdık olup olmadığını iki kez kontrol edin. Eğer değilse, kötü niyetli olabilir. Sonuç 1 çıkarsa telaşlanmaya gerek yok demektir. Durum 2 ise, biraz daha araştırma gerekebilir. Ancak 2’li sonuçlar bile çoğu zaman yanlış alarm çıkıyor. Aşağıdaki ekranda, her ikisi de meşru bir satıcı olan Winzip Computing ile ilgili iki yanlış alarm örneği görülüyor.

Emin değilseniz, basit bir şekilde rapor edilen orana tıklayın. Böylece hangi AV motorunun pozitif, hangisinin de negatif verdiğini gösteren VirusTotal sayfasıyla karşılaşıyorsunuz. VirusTotal, sayfanın üstünde biri kırmızı şeytan ve diğeri de hale giyen yeşil bir surat olmak üzere iki simge görüntülüyor. Eğer ok işareti yeşil suratı gösteriyorsa, bu, VirusTotal’ın deneyimi kapsamında bir kötü amaç izine rastlanmadığı anlamına geliyor.

Hiçbir tehdit gözünüzden kaçmasın

Öyleyse neden mi çoğu zaman yanlış alarm veren bir programı tavsiye ediyoruz? İlk olarak, problemin kaynağı Process Explorer programı değil; VirusTotal. AV üreticileri araştırma ve temizleme işlemleri olgunlaştıktan sonra genellikle yanlış alarmları saatler içinde giderirler. Ara sıra çıkan ufak tefek yanlış alarmları geçersek, VirusTotal kadar isabetli tek bir antivirüs motoru bile bulamayacaksınız. Aşırı dikkat ile beraber küçük hatalar oluşabilir, ancak VirüsTotal ile birçok AV’nin gözden kaçırdığı tehditleri kolayca tespit etmek mümkün. 67 farklı AV motorunun gücünü kullanan bu hizmet, kötü amaçlı yazılımlara karşı en iyi güvenliği sağlıyor. Antivirüs programınız bir şeyler kaçırabilir, ama VirusTotal’dan kaçış yok.

Çoğu kötü amaçlı yazılım, 3 veya daha yüksek çıkan bir oran sonucu yakalanır (ör. 13/67). Aslına bakacak olursak, sonucun 3 ya da daha yüksek olduğu hiçbir oranda yanlış alarma rastlamadık. Bu rakamda veya üstünde bir oran gördüğümüzde Process Explorer’da sağ tıklıyoruz, dosya konumu yolunu not ediyoruz ve program dosyasını kesinlikle tanımıyor ve güvenmiyorsak işlemi sonlandırıyoruz.

Sonra yürütülebilir dosyayla ilişkili dosyaları manuel olarak siliyoruz. Ancak dikkatli olun: Böyle bir uygulama veya sürücünün ihtiyacı olan bir dosyayı yanlışlıkla silme ihtimaliniz hiç de düşük değil. Bu yönde korkularınız varsa, alternatif bir şekilde dosyayı yeniden adlandırmanız da yeterli olacaktır. Bu, zararlı yazılımı sistemden kaldırmasa da en azından aynı dosyayı kullanarak tekrar çalışmasını engelleyecektir. Biz genellikle, “zararlı” ile biten bir dosya uzantısına sahip bir isim kullanıyoruz, böylece tekrar gördüğümüzde ne yaptığımızı daha kolay hatırlıyoruz. Genellikle silmek istediğimiz dosyanın kötü amaçlı olup olmadığından emin değilsek, dosyayı yeniden adlandırıp bir hafta bekliyoruz ve sistemin olumsuz etkilenmediğinden emin olduktan sonra dosyayı siliyoruz.

Autorun kullanmayı deneyin

Bazen kötü amaçlı yazılımlar sizinle “kavga edebilir” ve işlemi sona erdirmenize izin vermeyebilirler. Öyle bir durumda, yukarıdaki işlemi tekrar edin ama bu sefer Autoruns ile devam edin. Autoruns kullanarak programın bilgisayar açılırken yüklenmesini engelleyin. Bilgisayarı tekrar başlatın ve Process Explorer’ı tekrar çalıştırın. Genellikle bu aşamada kötü amaçlı yazılım programı çalışmaz ve silinebilir. Eğer Autorun kullanmanız sonuç vermediyse ve dosya hala size karşı kendini savunuyorsa, Güvenli Kip’i girerek yürütülebilir dosyayı silmeniz veya yeniden adlandırmanız gerekecek. İnanın bunca yıldır bu aşamanın ötesine geçebilen zararlı tek bir programla bile karşılaşmasak da imkansız bir durum değil. Bu durum gerçekleşirse, VirusTotal’ı kullanarak hangi virüsten koruma ürününün hedef dosyayı zarlı olarak algıladığını öğrenin, bu AV programını indirin ve dosyadan kurtulmak için bilgisayarınızda çalıştırın. Eğer dosyaları elle silmek zor gelirse, bu yöntemi zararlı yazılım temizleme operasyonunun ilk adımı olarak da kullanabilirsiniz.

Masaüstünüzde Process Explorer’a bir kısayol ekleyin. Daima “Yönetici olarak çalıştır” şıkkını seçin. Bize genellikle yürütülebilir dosyaya (masaüstü kısayolu değil) sağ tıklayıp, Özellikler’i seçip, daha sonra Uyumluluk sekmesine geçip, Tüm Kullanıcılar için Ayarları Değiştir’i seçiyor ve ardından Bu programı Yönetici olarak çalıştır’ı seçiyoruz. Windows’un 64 bit sürümünü kullanıyorsanız, programın 64 bit sürümünü çalıştırdığınızdan emin olun. Herkesin en az haftada bir kez Process Explorer veya Autoruns’u indirip çalıştırmasını öneriyoruz. Eğer zaman ayıramıyorsanız, bunu hiç olmasa bilgisayarınız şüpheli bir davranış gösterdiğinde yapın.

Uyarı: Zararlı yazılım tespiti her zaman başarılı olmayabilir

Açık olmak gerekirse bu tespit metodu bile mükemmel değil. Bir takım zararlı programlar bu tür bir taramadan sıyrılabilir. Neyse ki bu tür zararlı yazılımlara rastlamak (en azından şimdilik) oldukça düşük bir ihtimal. Tabi gelecek ne gösterir bilinmez; zararlı program yazarları ani bir atılımla Process Explorer ve Autoruns’ın gazabından kurtulabilirler. Ama durum henüz öyle değil ve yukarıda bahsettiğimiz yöntem, kullanabileceğiniz en iyi korunma yöntemlerinden birini oluşturuyor.

Zararlı yazılımlardan uzun vadede korunmak için verebileceğimiz en iyi tavsiye aslında size çok da yabancı gelmeyebilir. Yazılımınızı aksatmadan eksiksiz olarak güncelleyin (özellikle tarayıcı ve tarayıcı eklentilerini). Hepsinden önemlisi, kurmamanız gereken bir şeyi kurmayın. Son olarak, farklı siteler arasında aynı parolaları kullanmayın veya çift faktörlü kimlik doğrulamaya geçin.

Eğer bilgisayarını internete bağlanıyorsa, yapacağınız hiçbir savunma yüzde yüz güvenli olmayacaktır. Ama 67 antivirüs programı gücündeki VirusTotal ile bulabileceğiniz en iyi güvenliğe sahip olacağınızdan emin olabilirsiniz.