Zararlı Yazılım Tespiti

Herhangi bir sistemde zararlı yazılım tespit etmek karmaşık bir süreç olsa da sistem üzerinde neler olup bittiğini bize hızlıca gösterebilecek iki araç var. Bunlar Microsoft tarafından yayınlanan Process Explorer ve Autoruns yazılımları.

Process Explorer Windows üzerinde hepimizin yakından tanıdığı Görev Yöneticisinin biraz daha gelişmiş versiyonu olarak düşünülebilir. Autoruns ise bilgisayar başlatıldığında çalışan processleri listeler.

Bu durumda Process Explorer bize “zararlı” veya “olmaması” gereken uygulamalara daha yakından bakma imkânı verirken Autoruns bilgisayar üzerinde kalıcı olmaya çalışan zararlı yazılımları yakalamamızı sağlayabilir. Bir zararlı yazılımın etkin olabilmesi için bulaştığı oturum sonlandıktan sonra tekrar devreye girebilmelidir. Aksi takdirde hedef bilgisayar kapanıp açıldıktan sonra çalışamayacaktır.

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns adresinden indirilebilecek Autoruns yetkili kullanıcı olarak çalıştırılmalıdır.  Çalıştırdıktan sonra aşağıdaki ekranla karşılaşıyoruz.

Bazı satırların kırmızı olduğunu görebilirsiniz. Bunlar bizim incelemeye başlamak için kullanabileceğimiz ipuçları olabilir. Kırımızı satırlar yayıncısı bilinmeyen dosyalara (exe veya dll) işaret etmektedir. Bunların tamamının zararlı yazılım olduğunu söylemek doğru olmayacaktır. Uygulamayı geliştiren firma tembellik veya cimrilik yapıp uygulamasına bir sertifika almamış olabilir. Öte yandan bunların zararı yazılım olma ihtimali Microsoft tarafından yayınlandığı teyit edilebilen bir uygulamaya göre daha yüksektir. Zaman zaman, Stuxnet gibi, bilinen bir yayıncı sertifikasıyla imzalanmış zararlı yazılımlar görülüyor ancak bunların sayısı şimdilik oldukça düşüktür.

Bundan sonraki aşamada başlangıçta devreye giren uygulamalara bakarak “bunların çalışması normal mi?” sorusunu sormamız gerekiyor. Bu işlemi belirli aralıklarla gerçekleştirmek ve sonuçları kuruluşunuzun standart Windows imajıyla karşılaştırmak sisteme bulaşmış ve hayatta kalmaya çalışan zararlı yazılımların tespit edilmesini kolaylaştıracaktır.

Autoruns ile başlangıçta devreye giren yazılımlara baktıktan sonra sistem üzerinde çalışmaya devam eden uygulamalara bakmak için Process Explorer kullanılabilir. Process Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer adresinden indirilebilir.

Process Explorer ile çalışan processleri ve bunların toplam işlemci gücünün ne kadarını kullandığını görebiliriz.

Adını bilmediğiniz bir uygulamanın işlemci kaynaklarını önemli ölçüde tüketmesi kriptopara madenciliği yapan zararlı yazılımları tespit etmemizi sağlayabilir.

Sağda görülen “Company Name” sütunu ise dikkate almamız gereken bir diğer önemli bilgi. Yayıncı kuruluş adı olmayan uygulamaları yakından incelemek bunların arasında bulunabilecek bir zararlı yazılımı tespit etmemizi sağlayabilir.

Process Explorer üzerinde dikkatimizi çekebilecek herhangi bir uygulama için Virus Total sorgusu yapmamız mümkün. Sağ tıklayarak çıkan “Check Virus Total” seçeneğini kullanarak dosya için belli başlı antivirus yazılımları tarafından verilen sonuçları görebiliriz.

Virus Total kullanımı hakkında bilgiye buradaki yazımızdan ulaşabilirsiniz.

Zararlı yazılımlarını kendilerini antiviruslerden ve kullanıcılardan gizlemek için çaba harcadığını biliyoruz. Buna karşılık zararlı yazılımların yapmak zorunda olduğu 2 şey var: çalışmak ve bilgisayar oturumları arasında hayatta kalmak. Bu davranışları tespit etmemizi sağlayacak iki basit aracı böylece tanımış olduk.