Özel inceleme: En iyi virüs tarayıcılar

Yeni nesil virüsler ve zararlı yazılımlarla en iyi şekilde savaşan koruma yazılımlarını inceledik.

Şimdiye kadarki virüs tarayıcıları, yeni virüslere karşı korumayı, ancak veritabanları güncellendikten sonra sağlayabiliyordu. Bazen saatler, bazen günler alan yeni güncellemeler yüzünden hızlı koruma sağlamak pek mümkün olmuyordu. Virüslere karşı geliştirilen yeni bir silah, bu durumu kökünden değiştirecek: Davranışa dayalı analiz yapabilen virüs tarayıcıları. CHIP Online, yeni nesil virüs tarayıcılarını sizin için inceledi.

Zararsız e-postaların içine gizlenirler, zararlı web siteleri veya dosyalarla bilgisayarınızı ele geçirirler: Virüsler, trojanlar ve diğer tüm malware'lerin davranışı budur. AV-Test'in raporuna göre geçtiğimiz yıl ortaya çıkan zararlı dosyaların sayısı 5.5 milyonu buldu. Bu sayı, 2006'nın iki katına, ay bazında ise 2005'te tüm yıl boyunca ortaya çıkan zararlı dosyalara eşit! Gittikçe büyüyen bu dalgaya antivirüs yazılımı üreticileri yeni bir silahla karşı koyma yolunda: Davranışa dayalı analiz. Yeni araçlar ile, bir dosyanın zararlı olup olmadığı, imzası, dosya ismi veya belirli bir çalışma yöntemine sahip olmasının yanında, davranışı ile de ortaya çıkabilecek.


Antivirüs uzmanlarının bu yeni stratejiyi kullanmalarındaki sebep, virüsleri hazırlayanların, sürekli değişen dosya sürümleri ve isimleri ile, antivirüs yazılımlarını yanıltması. Bir firma koruma dosyasını hazırlayana kadar, virüs tamamen yeni bir şekle girmiş olabiliyor.

CHIP Online, bu yeni silahın gerçekten işe yarayıp yaramadığını test etti. Bir insanın kolayca fark edebileceği bir durumu, bilgisayarın fark edebilmesi, ancak bu durumu öğrenmesi ile mümkün oluyor. Örneğin bir yazılım, Windows'un güvenlik ayarlarını kendiliğinden değiştirirse, bu yazılımın büyük ihtimalle zararlı olduğu söylenebilir. Ancak program, kullanıcının onayı ile bu ayarları değiştiriyorsa, virüs yerine bir ince-ayar (tuning) yazılımından da söz etmek mümkündür. Analiz araçlarının, bu ikisi arasındaki farkı görmeleri gerekiyor.

Virüs avcılarının yeni silahı: Davranış analizi

Testimizde güncel sekiz antivirüs yazılımını inceledik. Yazılımlardan bazıları, yalnızca davranış analizi yapan küçük araçlardan oluşurken, çoğunda ise bu araç, var olan antivirüs paketine dahil edilmişti.

Testimizde yalnızca, davranış analizine bağlı olan sonuçları dikkate aldık. Hepsi-bir-arada antivirüs kitlerinde karşımıza gelen firewall ve tanım dosyalarına ait uyarılar değerlendirmeye alınmadı.

Tanım dosyası güncellemesi için uzun zamana ihtiyacı olan katılımcılar için, tanım dosyasını temin etmeden zararlı yazılımları tanıyabilmek önemlidir. Kaspersky, güncellemeleri oldukça çabuk entegre edebiliyor, bu nedenle davranış analizine çok fazla ihtiyaç duyulmuyor. Symantec gibi, güncellemenin uzun sürdüğü yazılım firmalarında ise davranış analizi daha fazla ağırlık kazanıyor.

Bu açıdan bakıldığında, davranış analizi konusunda açık bir farkla kazanan, Norton AntiBot oluyor. Symantec'in, bir yıl önce Sana Security'den satın aldığı bu teknoloji, parasının hakkını veriyor. AntiBot'un ulaştığı %100'lük tanıma oranına yalnızca Mamutu yetişebiliyor.

Var olan teknolojilere, yenilerini en iyi şekilde uyarlama konusunda da, test şampiyonunun bir yakını ödülü alıyor: Symantec tarafından geliştirilen Norton Antivirus, tehlikelerin yüzde 80'inde uyarı vermeyi başardı. Tehlikeleri engelleme ve tam güvenlik sağlama konusunda ise bu oran %35'te kaldı. Daha da kötüsü, tehlikelerin yalnızca %20'sinde, zararlı dosya bulunduğu anda yok edildi.

Diğer katılımcılar, daha iyi sonuçlara imza attılar. Örneğin Prevx, aynı Norton Antivirus gibi %80'lik bir uyarı oranı yakalarken, %65'ini başarıyla uzaklaştırdı. Bir başka katılımcı, Safe'n'Sec ise, tehlikelerin %75'ini, tek bir zararlı dosya hariç, doğrudan temizlemeyi başardı. Tüm geliştiricilerin böyle bir oranı yakalamasını temenni ederiz.

Yanlış alarmlar sisteme zarar verebilir

Antivirüs yazılımlarının, şüpheli buldukları her dosyayı silmemelerinin geçerli sebepleri de var. Davranış analizi yazılımları bazen kontrolü tamamen kaybedebiliyor. Bunu en iyi şekilde, yanlış alarm testimiz kanıtlıyor. Alışılagelmiş antivirüs yazılımlarında bu kadar kötü sonuçlara hiç rastlamamıştık.


Karşılaştırma için standardı yalnızca davranış analizine bağlamış olsaydık, testteki çoğu katılımcı sınıfta kalacaktı. Emsi Software tarafından geliştirilen Mamutu, %100 tanıma oranı yakalarken, bunların %70'i yanlış alarm statüsündeydi. Taranan dosyaların yarısından fazlası, temiz olmasına rağmen "tehlike" olarak algılandı, ve çalışmaları gereksiz yere engellendi.

Yalnızca Norton AntiBot ve F-Secure AntiVirus 2008, buldukları dosyalarda yanılmadı. AntiBot, zararlı dosyaların %90'ını anında engelleyerek birinciliği hak etti. Symantec'in, AntiBot teknolojisini gelecekte diğer yazılımlarına da entegre etmesini umuyoruz.

Tabii bu ek korumanın getirdiği bazı zorunluluklar da var: Antivirüs yazılımı sürekli açık ve aktif olmak zorunda. Bu da sistem kaynaklarından bir bölümün antivirüs yazılımının tarayıcısı için ayrılması demek. Davranış analizi özelliğine sahip yazılımlar, şüpheli durumlarda, sistemin çalışmasını engelleyecek kadar çok kaynak tüketebiliyor.

Ancak testimizde, yazılımların sisteme getirdiği yükü karşılaştırmadık. Yalnızca davranış analizine yoğunlaşan küçük araçlarla, tüm sistemi koruyan, hepsi-bir-arada yazılım paketlerini aynı kefeye koymak doğru olmazdı. Yine de sistem belleği ihtiyacı ve Windows başlangıcında sebep oldukları gecikmeyi, ayrı değerler olarak tablomuza dahil ettik. Böylece tabloyu inceleyenler, hangi yazılımın sisteme ne kadarlık bir yük getirdiğini az çok tahmin edebilecek.

Windows Vista tabanlı test sistemimiz, işletim sisteminin yeni yüklenmiş haliyle, ek bir yazılım olmaksızın ortalama 30 saniyede açılıyordu. İlk güvenlik yazılımının yüklenmesiyle beraber bu süre, önemli ölçüde değişti. Bu konuda sisteme en az 'hasarı' veren yazılım, Vista'nın açılmasını yalnızca 4 saniye geciktiren Mamutu oldu. Diğer katılımcılarda bu süre 9 ila 19 saniye arasında değişti. F-Secure Antivirus yüklendiğinde ise sistemimiz inanılmaz bir şekilde, tam 70 saniyede açıldı.

F-Secure AntiVirus'un sistem kaynakları konusunda da pek pembe bir tablo çizdiğini söyleyemeyiz. F-Secure, sistem belleğinden tam 160 MB'ı kendine ayırdı.

Kullanım kolaylığı: Uyarı mesajlarını anlamak zor

Bir güvenlik yazılımı ne kadar hızlı olsa da, sisteme ne kadar az yük getirse de, ancak kullanıcı tarafından anlaşılabiliyorsa iyi sayılır. Çünkü kullanıcılar genelde anlamadıkları yazılımları kapatmaya veya durdurmaya eğilimlidir.

Kullanıcı dostu olma konusunda bazı üreticilerin önünde hala uzun bir yol var. Özellikle uyarılarda yer alan ipuçlarının anlaşılabilirliği çok az. Davranış analizi tabanlı yazılımlarda çıkan uyarı mesajları, uzman olmayan kullanıcıların anlayamayacağı karmaşık verilerle dolu. Sürekli anlaşılmaz mesajlara maruz kalan kullanıcılar, bir noktadan sonra her uyarıya aynı cevabı ("Engelle" ya da "İzin Ver") vermeye başlıyor.

Test katılımcılarının arayüz ve menüleri, üreticilerin "kullanıcı dostluğu" konusunda az da olsa bir fikirlerinin olduğunu kanıtlıyor. Uzman modu (expert mode) açılmadığı müddetçe hazır ayarlar oldukça yeterli. Bu noktadan sonra yapılacak tek şey, tüm üreticilerin Norton AntiBot gibi başarılı çözümleri, güvenlik paketlerine dahil etmelerini ummak.

Bir bakışta test katılımcıları


Test şampiyonu & Uygun fiyat: Norton AntiBot

En iyi tanıma oranı ve sıfır yanlış alarm: Testimizde bu ikisini birden başaran tek yazılım Norton AntiBot.

Rakipleri fazlasıyla hassas veya fazlasıyla kararsız çalışırken, Symantec'in Norton AntiBot'u hatasız çalışmaya devam ediyor. Tek bir yanlış alarm olmaksızın zararlı dosyaları yüzde yüz tanıma oranı, başarısını açıklamaya yeterli. Her ne kadar test puanına etki etmese de, Norton AntiBot'un sistem kaynaklarını çok zorlamayan bir yazılım olduğunu söyleyebiliriz.

Norton AntiBot, şu an için tek başına çalışan bir yazılım konumunda. Yani AntiBot, sisteminizde halihazırda yüklü olan diğer Symantec güvenlik yazılımlarına entegre çalışamıyor. Bu sebeple, diğer üreticilerin ürünleriyle sorunsuz çalışması, bir avantaj olarak kabul edilebilir.

Download:
Norton AntiBot (15 Günlük Deneme Sürümü)

CHIP Online testi

Virüs test laboratuarı AV-Test'in işbirliği ile virüs tarayıcılarını zorlu bir testten geçirdik. Testimizin amacı, davranış analizinin, zararlı dosyaları tanımada ne kadar fayda sağladığını görmekti. Performans ve kullanım özellikleri değerlendirme puanına etki etmedi.

Güvenlik


Yazılımların 20 aktif zararlı yazılımı tanıma, engelleme ve uzaklaştırmanın yanında; 10 zararsız yazılımı da değerlendirme dışında bırakarak, çalışmalarının devamını sağlamaları beklendi. Tarayıcıların koruma bileşenlerini tek tek açıp kapamak mümkün olmadığı için, zararlı yazılımı hangi yöntemle (tanım dosyası veya davranış analizi) belirledikleri not alındı. Yalnızca davranış analizine bağlı sonuçlar değerlendirmeye alındı.

Performans
Yazılımların, Windows başlangıcını ne kadar geciktirdikleri ve çalışırken ne kadar sistem belleğine ihtiyaç duydukları belirlendi. Yazılımların, pasif konumda sistem kaynaklarını hiç tüketmemeleri beklendi.

Kullanım Kolaylığı
Uyarı mesajlarının, kimi zaman uzmanların bile anlayamayacağı şekilde karmaşık olmasından dolayı, mesajların anlaşılabilirliğine dikkat ettik. Menü ve seçeneklerin detayları ve anlaşılırlığını değerlendirmeye aldık.

Sonuç: Net bir galibiyet

Davranış analizi, her geçen gün artan zararlı yazılımlara karşı, hepsi-bir-arada güvenlik çözümlerinin yanında etkili bir koruma sağlıyor. Test şampiyonu, bu kategorideki yazılımların yeterince olgunlaştığını kanıtlıyor.

Henüz tanımlanmamış virüsleri, yalnızca davranışlarına bakarak tanımak hiç de kolay değil. Testimizde ortaya çıktığı gibi, çoğu üreticinin bu konuda alması gereken önemli bir yol var. Tarayıcılar çoğu zaman ya çok hassas, ya da çok duyarsız. Virüsleri doğru tanıma konusunda hala geliştirilecek çok şey var. Bu konuda rekor çıtasını ise, Norton AntiBot ortaya koyuyor.

Mevcut Güvenlik Çözümlerine İyi Bir Destek
Symantec'in yazılımı, davranış analizi ile, kullanıcıları yanlış alarmlar veya gereksiz bilgilere boğmadan, başarılı sonuçlara imza atabiliyor. Norton AntiBot, %100'lük tanıma oranı ile, zararlı yazılım ve dosyaları tanım dosyaları ile belirleyen, bu yüzden oldukça geç tepki veren geleneksel antivirüs çözümlerinin yanında, en iyi tamamlayıcı olarak göze çarpıyor.

Download:
Norton AntiBot (15 Günlük Deneme Sürümü)

Sonraki Haber

Forum