Şüpheli dosyalarınız için online malware tarama servisleri

Günümüzde hiçbir antivirüs yazılımı %100 tespit garantisi vermiyor. Bilgisayarımızda antivirüs yazılımı olsa dahi, internetten indirdiğimiz dosyalar için belli bir güvenlik riski her zaman mevcut.

Bu durumun farkında olan bazı girişimciler, dosyalarımızı birçok antivirüs motoru ile eşzamanlı olarak analiz eden online servisler hazırladı. Amaç; daha çok antivirüs kullanıp tespit oranını arttırmak. Bu servisler, yüklenen dosyaları 50den fazla antivirüs ile tarıyor ve tarama sonucunu kullanıcıya raporluyor.

Bir yazılımın tespit edemediği zararlıyı bir diğeri tespit edeceğinden, bu hizmetler ile güvenlik riskini ciddi oranda azaltmak elimizde. Tek yapmamız gereken dosyayı kullanmadan önce servise yüklemek…

Virustotal

2004 yılından bu yana faaliyet gösteren lider online malware tarama servisi. 2012 yılında Google tarafından satın alındı. Aynı yıl 100 milyon tekil dosya taramasını aştığı açıklandı.

000016-01-02

Virustotal, online yükleme ile 64mb boyuta kadar dosyaları taramanıza izin veriyor. URL adreslerini analiz edebiliyor. Şu anda 50den fazla antivirüs/URL tarama motoru kullanmakta. Servisin PC yazılımı, Android yazılımı, tarayıcı eklentileri ve geliştirici araçları mevcut.

Sunulan geliştirici araçları sayesinde 3. parti güvenlik yazılımlarında kullanımı mümkün. Spyshelter, Zemana ve Vodooshield servisi kullanan güvenlik yazılımlarından.

Servis, online form dışında email ile de dosya kabul ediyor. Taratmak istediğiniz dosyayı scan@virustotal.com adresine gönderirseniz, tarama sonucunu email ile alabiliyorsunuz. Özellikle gelen şüpheli mailleri, hemen bu adrese yönlendirerek taratmak çok pratik. Email ile kabul edilen maksimum dosya boyutu 32mb.

Virustotal, sadece bir virüs tarama servisi değil, aynı zamanda sosyal bir mecra. Dosyalara ilişkin kullanıcı yorumları okumak, kullanıcı profilleri oluşturmak mümkün. Servise yüklediğiniz dosyalar tüm güvenlik şirketleri ile paylaşılıyor. Bu nedenle, malware avcıları tarafından birkerede 50den fazla antivirüs firmasına zararlı raporlamak için de kullanılıyor.

Jotti’s malware scan

Jotti, Jordi Bosveld tarafından 2004 yılında kurulmuş, malware tarama servisi. Virustotal kadar eski bir geçmişe sahip ancak servis kalitesi Virustotal’i pek yakalayamıyor.

000016-01-03

Servis ile kontrol edebileceğiniz maksimum dosya boyutu 25mb. Tarama için kullanılan antivirüs sayısı 22. Bu sayının içinde bütün öncü antivirüs yazılımları mevcut.

Jotti, antivirus yazılımlarının Linux versiyonlarını kullanabiliyor. Bu nedenle antivirus portfolyosu Virustotal’den az. Yine antivirüslerin Linux versiyonları kullanıldığından, tespit oranı aynı antivirüsün Windows versiyonuna göre farklı olabiliyor.

VirSCAN

VirSCAN, tanıttığım ilk iki servise göre daha yeni, hakkında pek bilgi sahibi olmadığımız bir servis. Arkasında kim var, geliştiriciler kim bilmiyoruz. Elimizde olan tek şey, iletişim bölümünde yazılmış mail adresi.

000016-01-04

Bununla birlikte, sistem çalışıyor. 20mb’a kadar olan dosyalarımız, 38 antivirüs motoru ile taranıyor. Eğer dosya sıkıştırılmış bir formatta ise (zip, rar) içeriğindeki dosya sayısının 20den fazla olmaması gerekiyor.

Metascan

OPSWAT tarafından sunulan online zararlı tarama servisi. Servis, OPSWAT tarafından geliştirilmiş, satınalınabilen Metascan altyapısını kullanıyor.

000016-01-05

Metascan, 80mb’a kadar olan dosyaları 40 antivirüs motoru ile tarayabiliyor. Servisin geliştiriciler tarafından kullanılabilecek uygulama programlama arayüzü mevcut.

Açıkça söylememişler ama kullandıkça öğreniyorsunuz; hizmetin bazı ek limitleri mevcut. Yüklediğiniz arşiv dosyaları içinde 50’den fazla dosya olmamalı ve bu dosyaların boyutu 100mb’ı aşmamalı. Beş tarama sonrası mail adresinizi vermeli ve captcha ile doğrulama yapmalısınız. Bir saatte yapabileceğiniz maksimum tarama sayısı ise 20.

Hangisini kullanmalıyım?

Dört serviste kullanılabilecek kadar iyi. En çok itibar ve talep gören servis Virustotal. Ben de genellikle onu kullanıyorum.

Eğer kontrol etmek istediğiniz dosyalarınız fazla ise, Phrozen VirusTotal Uploader kullanabilirsiniz. Bu masaüstü yazılımı ile toplu dosya kontrolü mümkün. (Jotti için benzer ve bence daha sorunsuz bir yazılım; JottiQ)

Tüm bu servisler belirli kullanım şartları altında sunulmakta. Dosya yüklediğinizde, bu şartları kabul etmiş sayılıyorsunuz. Bu şartlara göre yüklediğiniz dosya 3.parti firmalar tarafından kullanılabiliyor.

Eskiden, servisler bu 3.parti paylaşımlarda bulunmuyordu. Fakat malware yazarları, servisleri yazdıkları zararlılar için kalite kontrol laboratuvarı gibi kullanmaya başlayınca, servisler bu dosyaları antivirüs firmaları ile paylaşmaya başladı.

Bu nedenle gizli tutmak istediğiniz kişisel dosyalarınız için bu servisleri kullanmamanızı hatırlatırım.

Hatalı uyarılara dikkat!…

Her gülün dikeni, her güzelin bir kusuru, her nimetin bir külfeti vardır. 50 tane antivirüs motorunu yan yana koyarsanız, o antivirüslerden biri olmazsa diğeri zararsız bir dosyayı zararlı olarak tanımlayacaktır.

Bu duruma “False Positive” deniyor. Sizde taramalarınızın sonucunda FP denilen hatalı uyarıları alabilirsiniz. O yüzden tarama sonucunu direk kabul etmek yerine değerlendirmelisiniz. Bu durumda pek sık kullanılmayan antivirüs firmalarının sonuçları yerine Bitdefender, Kaspersky, Avira, Eset, Panda, AVG, Emsisoft, Microsoft, Fortinet, Bullguard,… gibi tespit oranı yüksek, FP oranı düşük antivirüs yazılımlarının sonuçlarına öncelik verebilirsiniz. Avast, Symantec, Ikarus, Dr. Web ve Baidu ise FP oranı göreceli olarak yüksek antivirüslerdir.

Malesef tespitin FP mi yoksa gerçek mi olduğu konusunda kesin bir matematik yok ama;

Virustotal kullanıyorsanız, raporun “Ek Bilgi” kısmına bakın. Buradaki “First Submission” bir haftadan daha önce ise ve yukarıda saydığım güvenlik yazılımları dosyayı temiz gösteriyorsa, dosya muhtemelen temizdir.

Çünkü bahsettiğim servislerin sunucularına yüklenen her dosya, Antivirüs firmalarıyla paylaşılır. Eğer dosya bir hafta sonunda hala temiz görünüyorsa, büyük ihtimalle Antivirüs analizlerinden geçmiştir.

Leave a Reply