Professional Documents
Culture Documents
ÖZET
Anahtar Kelimeler: Kötücül yazılım, casus yazılım, bilgi ve bilgisayar güvenliği, virüs, solucan, arka kapı,
Truva atı, kök kullanıcı takımı, klavye dinleme sistemi.
As information technologies being developed and becoming widespread, daily routines and works have switched
to electronic media and made life easier. As a result, the importance of information and computer security and
threats encountered has increased in diversity as well as in quantity. New form of threats and attacks to security
arise almost every day. Malware and spyware are very dangerous threats among them. Reviewing available
literature on malicious software, it has not been found a well organized, up-to-date and comprehensive survey.
When the literature reviewed, there have been a number of references covering from anti-virus web sites and
computer magazines. In the light of reviewed literature, in this work, a comprehensive review on malware and
spyware is classified and presented. This comprehensive work contributes to the computer users to know the
threats of malicious software in details. The features of these wares and risks have been updated.
Keywords: Malware, spyware, information and computer security, virus, worm, backdoor, Trojan horse, rootkit,
keylogger.
122 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
• Casus yazılımlar bütün Windows uygulama çökme- miştir. Son bölümde, kötücül ve casus yazılımlar genel
lerinin üçte birinden sorumludur (Scott Culp, Microsoft). hatları ile değerlendirilmiş; elde edilen sonuçlar sunulmuştur.
• 2003 yılında virüslerin iş dünyasına maliyeti yakla-
şık 55 milyar ABD $’dır (TrendMicro). 2. ANA KÖTÜCÜL YAZILIM TÜRLERİ
• 3 milyon işyeri bilgisayarının ele alındığı bir araştır- (MAIN TYPES OF MALWARE)
mada 83 milyon casus yazılım saptandı (Gartner Group,
Eylül 2004). Genel olarak tüm kötücül yazılımlar; yaşam döngüsü,
kendi kendini çoğaltma, özerklik, bulaşma mekaniz-
• Siber saldırılardan kaynaklanan kayıpların 2004’ün
ması, ayrık veya virüs özelliği taşıma, korunma meka-
bitimi ile 16,7 milyar $’a çıkması beklenmektedir. 1997
nizması açısından farklı karakteristikler sergileyebil-
yılında bu nedenle ortaya çıkan kayıplar 3,3 milyar
mektedir. Kötücül yazılımlar, yaşam döngüsünde her
$’dı (Computer Economics, 2004).
hangi bir aşamada farklı davranışlar sergileyebilecek-
• Şirketlerin %96’sı virüs korunma yazılımları kul-
leri gibi, kendi kendini çoğaltmayacak tek bir amaca
lanmalarına rağmen; bu şirketlerin zarar gördükleri
yönelik çalışmakta; kullanıcının araya girmesine ihtiyaç
saldırıların %78’i yine virüs ve solucanlardır (2005
duyabilecekleri gibi tamamen özerk bir yaklaşıma
CSI/FBI Computer Crime and Security Survey [7]).
sahip olmakta; kötü niyetli kişiler tarafından bizzat
• Forrester’ın hazırlamış olduğu raporda, bilişim tek- elle hedef bilgisayar sistemine kurulabilmekte, kendi-
nolojilerinde karar vericilerinin %40’ının, kötücül ve sini saptayacak veya yok edecek korunma yapılarına
casus yazılımlar hakkında bilgilerinin olmadığı ve casus karşı direnç gösterebilmekte, çeşitli taktiklerle bu tür
yazılımlardan etkilenip etkilenmediklerini bilmedikleri programları atlatabilmektedir [2].
ortaya çıkmıştır (Forrester, 2005 [8]).
• Symantec, 2004 yılının ikinci yarısında 7360’dan fazla En temel kötücül yazılımlar, gelişme süreçleri açısından
yeni kötücül yazılım tespit etmiştir. Bu sayının, 2004 karşılaşılan ilk kötücül yazılım olmaları dışında; belir-
yılı ikinci yarısından %64 oranında daha fazla olduğu gin karakteristik özellikleriyle bilgi ve bilgisayar gü-
açıklanmıştır (Symantec Internet Security Threat Report, venliğine karşı önemli tehditler içeren ve oldukça yaygın
2005 [9]). bir şekilde kullanıcıların maruz kaldığı yazılımlardır.
Virüs, solucan, Truva atı ve mesaj sağanağı (spam) gibi
Yukarıda belirtilen hususlardan, bilgisayar kullanıcıların kullanıcıların nispeten farkında olduğu türler dışında
ve özellikle bilgi ve bilgisayar güvenliği uzmanlarının, var olan diğer ana türler takip eden kısımda incelenmiştir.
bu önemli tehditleri tüm yönleriyle incelemeleri, tanı-
maları ve bilmeleri olaşabilecek ve karşılaşılabilecek 2.1. Bilgisayar Virüsleri (Computer Viruses)
zararların önüne geçmede yardımcı olacaktır.
Virüsler, en tehlikeli ve en eski kötücül yazılım olarak
Bu çalışmada, bilgisayar kullanıcılarının karşılaşabile- kabul edilmektedirler. Organizmalardaki hücrelere
cekleri tehdit ve tehlikeler incelenmiş ve bir tehdit bulaşan küçük parçacıklar olarak tanımlanan biyolojik
gruplandırması yapılmıştır. En temel on bir farklı kö- virüslerden esinlenerek adlandırılan bilgisayar virüsleri,
tücül yazılım dışında, günümüzde daha birçok tehlikeli kendi kopyalarını çalıştırılabilir diğer kodlara veya
kötücül yazılım olduğu ve bu listenin genişletilmesi belgelere yerleştirilerek yayılan ve kendi kendine çoğalan
gerektiği görülmüştür. programlardır. Ekranda rahatsız edici, çalışmaya kısa
süreliğine de olsa mani olan mesajlar göstermek gibi
Yapılan geniş araştırmalar sonucunda birçok kötücül zararsız sayılabilecek türlerinin de bulunmasına karşın,
yazılım tespit edilmiş; vermiş oldukları zararların bü- çoğu virüs programlarının, önemli dosyaları silmek
yüklüğü dikkate alınarak bu makalede 38 yeni kötücül veya konak (host) sistemini tamamen çalışmaz hale
yazılım incelenmiştir. Kötücül yazılımlarla ilgili bütün getirmek gibi yıkıcı etkileri bulunmaktadır. Bu virüsler,
türler derlenmeye çalışılarak, varolan tehdidin tama- bilgisayar solucanının bir parçası olarak ağ üzerinden
mının gösterilmeye çalışılması, bu çalışmanın diğer yayılabilir olmalarına rağmen yayılmak için ağ kay-
hedeflerinden biridir. naklarını kullanmazlar. Bunun yerine disket, CD veya
DVD gibi ortamlarla veya e-posta eklentileri ile hedef
Ayrıca, mantar gibi çoğalan kötücül yazılımları adlan- sistemlere bulaşırlar. Virüsleri diğer kötücül yazılım-
dırırken sonu “ware” ile biten oldukça fazla sayıda lardan ayıran en önemli özellik insan etkileşimine ihti-
birbirinden ilginç İngilizce isim kullanılmaktadır. Bu yaç duymasıdır. Virüs dâhilindeki kötücül kod mutlaka
çalışmada, bu tür terimlere Türkçe karşılıklar da öne- bir kullanıcı tarafından yürütülmelidir. Bir dosyanın
rilmiştir [1]. açılmasıyla, bir e-postanın okunmasıyla, bir sistemi
önyüklemesiyle (boot) veya virüs bulaşmış bir progra-
Bu çalışmada takip eden bölümler aşağıdaki şekilde mı çalıştırması ile kullanıcı farkına varmadan virüsü
düzenlenmiştir. Makalenin 2. bölümünde, öncelikle yayar [10,11].
yukarıda bahsedilen on bir ana kötücül yazılım genel
hatları ile açıklanmıştır. Bölüm 3’de ise birçok kay- Virüsler yaygınlaştıkça virüs korunma programları da
naktan derlenen; fakat tamamı bir arada sunulmamış gelişmeye başlamış ve McAfee ve Symantec gibi fir-
olan ve genelde çok az tanınan 38 yeni kötücül yazılım maların öncülüğünü yaptığı virüs korunma programları,
incelenmiş ve bu yazılımların en temel özellikleri veril- bilgisayar güvenlik sistemlerinin ayrılmaz parçası ol-
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 123
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
muştur. Bu firmalar, kötü niyetli kişiler tarafından mühendislik yöntemlerini kullanma gibi yöntemler
geliştirilen “vahşi” (the wild) olarak tabir ettikleri virüs- kullanılmaktadır. Solucanlar, başka dosyaları değiştir-
lere karşı önlemler üretmek yanında; “hayvanat bahçesi” mezler; fakat etkin bir şekilde bellekte dururlar ve
(zoo) ve “balçanağı” (honeypot) tabir ettikleri labora- kendilerini kopyalarlar. Solucanlar otomatik olarak
tuarlarında ileride çıkması muhtemel virüsler için de gerçekleştirilen ve genellikle kullanıcılara gözükme-
çeşitli çalışmalar yürütmektedirler. yen işletim sistemi yapılarını kullanırlar. Solucanların
kontrol dışı çoğalmaları, sistem kaynaklarını aşırı kul-
Bilgisayar virüsleri; landığında veya diğer işlemekte olan görevleri yavaş-
lattığında veya bu görevlerin sonlanmalarına neden
• Dosya virüsleri olduğunda farkına varılabilir. Solucan ismi, 1975 yılında
• Önyükleme (boot) virüsleri John Brunner tarafından yazılan “Shockwave Rider”
• Makro virüsleri ve (Şok Dalgası Binicisi) adında bir bilim kurgu roma-
• Betik (script) virüsler nında, bir bilgisayar ağı üzerinden kendi kendini yayan
bir programa verdiği isimden gelmektedir [15].
olmak üzere dört sınıfta incelenebilirler. Dosya virüs-
leri, yayılmak için kendilerini çeşitli dizinlere kopya- Bilgisayar solucanları; e-posta, IM (Internet Messaging),
layarak veya virütik kodlarını çalıştırılabilir dosyalara İnternet ve ağ solucanları olmak üzere dört grupta
bulaştırarak, işletim sisteminde bulunan dosya siste- incelenebilir. E-posta solucanları, kötücül yazılımların
minde kullanan virüs türleridir. en çok tercih ettikleri yayılma yöntemi olan e-postaları
kullanmaktadır. Genellikle bir fotoğraf veya metin
Önyükleme (boot) virüsleri, sabit disk veya disketin dosyası gibi tek bir eklenti içerecek şekilde gönderilen
“Ana Önyükleme Kaydını” (Master Boot Record) e-postaların içerisinde bulunurlar. Kullanıcı eklentiyi
değiştirerek bilgisayarın her açılışında virütik kodun çalıştırdığında solucan kendini başlatır ve konak ma-
çalışmasını sağlayan virüslerdir. 26 Nisan 1986’da kineye bulaşır. Solucanlar genellikle bulaştıkları maki-
yaşanan Çernobil faciası üzerine Çernobil virüsü olarak nede kullanıcının adres defterinden e-posta adreslerini
adlandırılan ve bu tarihte bulaştığı konak sisteme zarar toplar ve kendini bulduğu her bir adrese gönderir.
veren W95/CIH virüsü, önyükleme virüsleri arasında en
çok tanınan ve oldukça zararlı virüslerden biridir [12]. “İnternet Mesajlaşma” (IM) Microsoft’un MSN Mes-
senger, AOL’nın AIM, IRC, ICQ, KaZaA gibi yaygın
Makro virüsleri, Microsoft Word ve Excel gibi güçlü mesajlaşma hizmetleri ve ağ paylaşımları IM solucan-
makro desteği olan masaüstü programları kullanan ve larının yayılması için kullanılırlar. Hedeflenen hizmeti
bunlara ait belgelerin açılışında çalışan makrolar ile kullanan tüm kullanıcılara, solucan bulaşmış bir dosya
yayılan virüs türleridir. Çalıştırılabilir dosyalar dışındaki veya solucanın kendisinin yer aldığı bir web sitesine
dosyalara bulaşan ilk virüs olan WinWord/Concept yönelen İnternet bağlantısı gönderirler [5]. Bağlantıya
[13] ve Microsoft Excel çalışma sayfalarına bulaşan tıklandığında solucan bilgisayara indirilir ve otomatik
XM/Laroux, bu tür makro virüslerine örnek olarak olarak çalışır. Solucan kendini konak makineye kurar
verilebilir [5]. ve kullanıcının haberleşme listesindeki tüm kullanıcı-
lara aynı türde mesajlar göndererek kendini yaymaya
Betik (script) virüsleri, VB (Visual Basic), JavaScript, devam eder.
BAT (toplu işlem dosyası), PHP gibi betik dilleri
kullanılarak yazılan virüslerdir. Bu virüsler ya diğer İnternet solucanları, sadece İnternet’e bağlı olan ma-
Windows veya Linux komut ve hizmet dosyalarına kinelere bulaşabilen solucanlardır. Bu tür solucanlar,
bulaşır ya da çok bileşenli virüslerin bir parçası olarak İnternet üzerinde tarama yapar ve en son güvenlik
çalışırlar. Betik desteği olan ve zararsız gibi görünen güncellemelerini kurmamış olan, açık kapıları olan
HTML, Windows yardım (help) dosyaları, toplu işlem veya güvenlik duvarı olmayan korunmasız bilgisayar-
dosyaları ve Windows INF dosyaları, bu tür virüslerin ları bulmaya çalışırlar. Solucan böyle bir bilgisayar
yerleştiği dosyalar olarak karşımıza çıkabilir. bulununca, kendini bu makineye kopyalar ve kendini
kurar. W32/Blaster ve W32/Deloder bu tür solucanlara
2.2. Bilgisayar Solucanları (Computer Worms) örnektir.
Bilgisayar virüslerine benzer bir yapıda olan solucanlar, Bir başka ilginç solucan türü olan ağ solucanları, pay-
virüsler gibi bir başka çalıştırılabilir programa kendi- laşılan bir klasöre, isimlerini faydalı veya ilginç gözü-
sini iliştirmez veya bu programın parçası olmazlar. kebilecek bir uygulama veya dosya ismine dönüştürerek
Solucanlar, yayılmak için başka bir programa veya kendilerini kopyalarlar. Bu dosyaları çalıştıran kulla-
virüslerde olduğu gibi insan etkileşimine ihtiyaç duy- nıcılar kendi bilgisayarlarına solucanı bulaştırmış olur.
mayan, kendi kendini çoğaltan bir yapı arz ederler
[14]. Bir solucanın yayılmasında kullandığı en yaygın Çoğu solucan tek tip işletim sisteminde çalışacak
yöntemler arasında, e-posta, FTP ve HTTP gibi İnternet şekilde geliştirilmektedir. Fakat çok yakın zamanda
hizmetleri bulunmaktadır. Solucanları yaymak için, Windows, Linux, Solaris, BSD ve diğer işletim sis-
hedef sistemdeki korunmasızlıklardan faydalanma veya temlerinde çalışabilecek şekilde bir “savaş başlığı”
kullanıcıların solucanları çalıştırabilmeleri için sosyal içeren süper solucanlar ortaya çıkacaktır [11].
124 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
2.3. Truva Atları (Trojan Horses) Hâlbuki bu Truva atının asıl amacını yerine getiren diğer
yükler için bir maskedir.
Yunan antik şairlerinden Homeros’un yazmış olduğu
Odise adlı eserde: Yunanlıların Truva şehrini on sene Truva vekilleri (Trojan proxies): Bu Truva atları, hedef
boyunca kuşatmalarına rağmen şehri ele geçiremedik- makinenin İnternet erişimini bir vekil sunucu (Proxy
leri; bunun üzerine içine bir kaç düzine askerin sak- server) gibi saldırganın hizmetine açar. Mesaj sağanağı
landığı dev boyda bir atı hediye olarak kalenin içine oluşturmak isteyen kötü niyetli kişiler, bu tür yoğun
sokmayı başardıkları ve gece geç vakitte at içinde sak- mesajlaşma için hedef bilgisayarın kaynaklarını kul-
lanan askerlerin kalenin kapılarını içerden açarak şehrin lanmaktadır.
ele geçirilmesini sağladıkları yazılmaktadır [16].
Truva casusları (Trojan spies): Tuş basımları, ekran gö-
Tarihte birçok örneği görülen bu gizleme hilesini kul- rüntüleri, etkin uygulama kayıtları ve diğer kullanıcı
lanan kötücül yazılımlar, bu efsanenin ismi ile anıl- faaliyetlerini toplayan ve bu bilgileri saldırgana gön-
maktadır. Truva atları meşru yazılım gibi gözüken kö- deren Truva atlarıdır.
tücül yazılımlardır. Son zamanlarda tersi de geçerli
olan örnekler bulunsa da; Truva atları, virüsler gibi kendi Truva bildiriciler (Trojan notifiers): Saldırgana Truva
kendine çoğalmayan yazılımlardır. Bir Truva atı faydalı atının bulaştığını bildiren yapılardır. Hedef bilgisayara
bir programa “bohçalanabileceği” (bundling) gibi; ait IP adresi, açık kapı numaraları ve e-posta adresleri
kullanıcıları, faydalı bir işleve sahip olduğunu ikna edip, gibi bilgiler e-posta, ICQ v.s. ile veya saldırganın web
bizzat kullanıcı tarafından çalıştırılmaları ile de etkin- sitesine gönderilir.
leştirilirler. Sisteme çeşitli şekillerde zarar veren genel
Truva atları dışında, PSW Truva atları, Truva arka Arşiv bombaları (ArcBombs): Bu tür Truva atları,
kapıları, tıklayıcılar, indiriciler, damlalıklar, vekiller, sıkıştırılmış arşiv dosyalarını açan programları sabote
casusları, bildiriciler ve arşiv bombaları aşağıdaki tür- etmek için kodlanmış arşiv dosyalarıdır. Çalıştırıldığında,
lerde Truva atları bulunmaktadır [17]: hedef bilgisayar yavaşlar ve çöker veya disk ilgisiz
verilerle doldurulur. Gelen verilerin otomatik olarak
Truva arka kapıları (Trojan backdoor): En yaygın ve işlendiği sunucular için bu tür Truva atları çok
tehlikeli Truva atı türüdür. Bulaştığı makinenin uzaktan tehlikeli olabilir. Arşiv dosyasında hatalı başlık bilgisi
kontrolünü sistem yöneticisinin farkına varmadan sal- oluşturarak; arşiv içindeki verileri tekrar ederek ve
dırgana veren araçlar içerir. aynı dosyaların arşivlenmesi ile bu tür Truva atları
oluşturulmaktadır. Tekrar eden verilerden oluşan
PSW Truva atları (PSW Trojan): Kişisel bilgisayarda büyük bir dosya çok küçük bir arşiv dosyası olarak
bulunan şifreleri çalmak için kullanılan Truva atlarıdır. paketlenebilir. Örneğin 5 giga baytlık bir veri RAR
biçiminde 200 kilo bayta (ZIP biçiminde 408 kilo
Truva tıklayıcılar (Trojan clickers): İnternet tarayıcı- bayt) kadar sıkıştırılabilir. Yine 10100 adet eş dosya
ların ayarlarını değiştirerek veya İnternet adresleri ile RAR biçiminde 20 kilo bayta (ZIP biçiminde 230 kilo
ilgili işletim sistemi dosyalarını değiştirerek hedef kul- bayta) kadar sıkıştırılabilir.
lanıcının belirli bir siteye veya İnternet kaynağına yö-
neltmeyi sağlayan Truva atıdır. Bu tür Truva atları, bir 2.4. Casus Yazılımlar (Spyware)
İnternet sitesinin ziyaretçi sayısını artırarak, reklâm veren
firmaların dikkatini çekmek ve İnternet arama motor- Bilgi ve bilgisayar güvenliğinde casus yazılım,
larının siteyi daha popüler olarak listelemesini sağlamak genelde muğlâk bir anlamda kullanılmaktadır. Casus
için veya ileride yapılacak olan bir saldırı için hedef yazılım, kullanıcılara ait önemli bilgilerin ve kullanı-
bilgisayarın kullanılmasını sağlamak amacıyla kullanıl- cının yaptığı işlemlerin, kullanıcının bilgisi olmadan
maktadırlar. Truva tıklayıcılar DoS (Hizmet Aksattırma, toplanmasını ve bu bilgilerin kötü niyetli kişilere gön-
Denial of Service) saldırıları için kullanılmaktadır. derilmesini sağlayan yazılım olarak tanımlanır. Bazı
kaynaklarda dar manada “snoopware” (burun sokan
Truva indiriciler (Trojan downloaders): Bu tür Truva yazılım) olarak da adlandırılan casus yazılımlar, diğer
atları, hedef makineye yeni bir kötücül yazılım veya kötücül yazılımlara göre özellikle İnternet kullanıcıları
reklâm yazılımı indirip ve kurmak için bir ara basamak tarafından sistemlere farkında olmadan bulaştırılmak-
oluşturur. İndirici, kullanıcının haberi olmadan yeni tadırlar. Casus yazılımlar, virüs ve solucanlardan farklı
kötücül yazılımı indirip çalıştırır veya sistem açıl- olarak hedef sisteme bir kez bulaştıktan sonra kendi
dığında otomatik olarak başlatır. İndirilecek kötücül kopyasını oluşturarak daha fazla yayılmaya ihtiyaç
yazılımın adresi Truva atı içinde bulunmaktadır. duymazlar. Casus yazılımın amacı kurban olarak seçilen
sistem üzerinde gizli kalarak istenen bilgileri topla-
Truva damlalıkları (Trojan droppers): Truva indiricileri maktır. Bu bilgi kimi zaman bir kredi kartı numarası
gibi damlalıklar da başka bir kötücül yazılımın sisteme gibi önemli bir bilgi bile olabilir [18]. Bunun dışında,
yerleşmesini sağlayan bir ara basamak vazifesi görür. ticari firmalar İnternet üzerindeki kullanıcı alışkanlık-
Bu tür Truva atları içinde muziplik içeren bir dosyayı larını saptamak amacıyla casus yazılımları İnternet
sadece sisteme yüklediğini hissettirerek programın se- üzerinde yayabilmektedirler [19]. Kullanıcıların haberi
bep olduğu etkinliğin zararsız olduğunu düşündürür. olmadan sistemlere bulaşabilen casus yazılımlar, kişisel
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 125
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
126 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
2.9. Telefon Çeviriciler (Dialers) mürücülerini en aza indirgemek için işletim sistemi ve
programların bu tür açıkları oluşturmayacak şekilde
Telefon çeviriciler, kurbanlarına büyük miktarlarda geliştirilip, test edilmesi gereklidir.
telefon ücreti ödetmek amacıyla, genellikle milletler
arası uzak mesafe telefon numaralarını, hedef bilgisayar 3. GÜNCEL KÖTÜCÜL YAZILIMLAR
modeminin İnternet servis sağlayıcısının bağlantı nu- (UP-TO-DATE MALWARE)
marası ile değiştirirler. Her zaman yaptığı gibi İnternet’e
bağlanan kişi, aslında farklı bir hattı kullandığının geç Yukarıda açıklanan kötücül yazılımlar dışında birçok
farkına vardığında, çok büyük miktarlarda telefon kötücül yazılım türü bulunmaktadır. Bu yazılımlarla ilgili
faturası ile karşılaşabilir. Bazı telefon çeviriciler ise, tuş topluca ve yeterli sayıda kaynak ve çalışma bulunma-
basım bilgilerini ve şifre gibi önemli bilgileri, kullanıcı maktadır. Bu yazılımların sadece bir kaçından bahseden
belli bir süre aktif olmadığı bir anda, korsana telefon az sayıda kaynaklara İnternet üzerinde rastlanabil-
hattı kullanarak gönderirler. Son zamanlarda İnternet mektedir. Yeni nesil kötücül yazılımlar, teknolojinin
sitelerinde rastlanan kandırmacalardan biri de, belirli getirdiği yenilikleri takip ederek ortaya çıkmakta veya
bir siteye erişmek için kullanıcının hazırlanan bir telefon şekil değiştirmektedir. Örneğin, ilk olarak Haziran
çeviricisini kullanması gerektiğinin belirtilmesidir. Bu 2004’de ortaya çıkan, EPOC.cabir ve Symbian/Cabir
tür programlar asla indirilip, kurulmamalıdır [27]. olarak da adlandırılan “Cabir” isimli bir bluetooth
solucanı, Symbian işletim sisteminin bulunduğu cep
2.10. Kök Kullanıcı Takımları (Rootkit) telefonlarında da saldırı yapılabileceğini gösterdiğin-
den, cep telefonlarında da bilgi güvenliğine yönelik
UNIX işletim sistemlerinde yönetici anlamına gelen çalışmaların yapılması gerektiğini ortaya çıkarmıştır [31].
“root” isminden gelen kök kullanıcı takımları, saldır-
ganın bir sistemin kontrolünü ele geçirdikten sonra, Güncel kötücül yazılımlar arasında, reklâm yazılım
bilgisayar sistemine eklenen yazılımlardır. Takımda (adware), parazit yazılım (parasiteware), hırsız yazılım
yer alan araçlar arasında, kayıt (log) girdilerini silerek (thiefware), püsküllü bela yazılım (pestware), tarayıcı
veya saldırgan proseslerini gizleyerek, saldırının izlerini yardımcı nesnesi (Browser Helper Object, BHO),
temizleyen araçlar ve saldırganın sisteme daha sonraki uzaktan yönetim aracı (Remote Administration Tool,
girişlerini kolaylaştıracak arka kapıları düzenleyen RAT), ticari RAT (commercial RAT), bot ağı (botnet),
araçları sayabiliriz. UNIX işletim sisteminde bulunan ağ taşkını (flooder), saldırgan ActiveX (hostile ActiveX),
netstat, ps, ls, du, ifconfig ve login gibi komut prog- saldırgan Java (hostile Java), saldırgan betik (hostile
ramlarının orijinalleri yerine geçen ve asıl işlevleri script), IRC ele geçirme savaşı (IRC takeover war),
dışında korsana farklı imkânlar sunabilen kök kullanıcı nuker, paketleyici (packer), ciltçi (binder), şifre yaka-
takımındaki programlar, orijinalleri ile aynı sağlama layıcılar (password capture) - şifre soyguncular (pass-
toplamına (checksum) sahip olacak şekilde düzenlen- word hijacker), şifre kırıcılar (password cracker),
diğinden; bu programların orijinallerinden farklı olduğunu anahtar üreticiler (key generator), e-posta bombalayıcı
anlamak sadece kriptografik özet karşılaştırması yapa- (mail bomber), kitle postacısı (mass mailer), e-posta
bilen “tripwire” ismi verilen bütünlük tarama prog- adres hasatçısı (E-mail harvester), web böcekleri (web
ramları ile mümkün olabilmektedir [20, 28]. ps komutu bugs), aldatmaca (hoax), sazan avlama (phishing), web
saldırgana ait kötücül prosesleri saklamak için; ls ko- sahtekârlığı (web scam) ve dolandırıcılığı (fraud),
mutu gizlenmesi gereken dosya ve dizinleri saklamak telefon kırma (phreaking, phone breaking), port tara-
için; du komutu saldırgan program ve kök kullanıcı yıcılar (port scanner), sondaj aracı (probe tool), arama
takımları tarafından kullanılan disk alanını saklamak motoru soyguncusu (search hijacker), koklayıcı (sniffer),
için değiştirilmektedir [29]. Çekirdek seviyesinde kök kandırıcı (spoofer), casus yazılım çerezleri (spyware
kullanıcı takımları, işletim sistemine çekirdek (kernel) cookie), iz sürme çerezleri (tracking cookie), turta (PIE),
seviyesinde çengel (hook) attıklarından, fark edilme- damlatıcı (trickler), savaş telefon çeviricileri (war
leri oldukça güçtür. UNIX ve türevi işletim sistemleri dialer) ve tavşanları (wabbit) saymak mümkündür. Bu
dışında Windows 2000 ve NT sistemleri için de kök yazılımlar aralarındaki yakınlıklara ve ilişkilere göre
kullanıcı takımları İnternet üzerinde rahatlıkla elde sınıflandırılmıştır. Yapılan bu sınıflandırma ise Şekil 2’de
edilebilmektedir [18]. verilmiştir. Sınıflandırılan bu güncel kötücül yazılım
türleri hakkında bilgiler ise aşağıda alt başlıklar
2.11. Korunmasızlık Sömürücüleri (Exploits) halinde özetlenmiştir.
Belirli bir güvenlik korunmasızlığını hedef alan türde Var olan bütün kötücül yazılımları bu şekilde bir araya
saldırılar üretebilen kötücül yazılımlardır. Bu tür yazı- getirilerek sınıflandırılması resmin tamamını görmek
lımlar sadece bu korunmasızlığın varlığını bütün dün- ve eksiksiz bir güvenlik alt yapısı kurmak bakımından
yaya göstermek amacıyla yazıldığı gibi; ağ solucanları önemlidir.
gibi zararlı programların bulaşma yöntemi olarak da
kullanılabilirler. Bir açıdan bakıldığında korunmasızlık 3.1. Reklâm Yazılım (Adware)
sömürücüleri, ilgili olduğu işletim sistemini veya prog-
ramı üreten firmanın bu tür açıkları kapatmak için Reklâm yazılımın kötücül yazılım olması şart değildir,
harekete geçirten bir etkendir [30]. Korunmasızlık sö- fakat bu tür yazılımlar, bir bedava veya paylaşımlı
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 127
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
128 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
amacıyla kullandığı ve web sayfalarını inceleyip say- bilmektedir. Bu tür betikler, içerdikleri kötücül niyet
fanın içerdiği bağlantılara yönelip diğer sayfaları tara- açısından saldırgan betik olarak adlandırılmaktadır.
yan örümcekler (spider) ve tırtıllar (crawler), en yaygın
bot’lar arasındadır [32]. Uzaktan yönetim yazılım türü 3.13. IRC Ele Geçirme Savaşı (IRC Takeover War)
olan bot ağı (botnet), kötü niyetli kişiler tarafından
mesaj sağanağı (spam) göndermek, izinsiz daha fazla IRC (Internet Relay Chat), popülerliliğini yitirmemiş
casus yazılım kurmak gibi kötü amaçlara yönelik sohbet programlarından biridir. IRC savaşları uzun süre
kontrol altına aldıkları, bilgisayar solucanları ve Truva IRC şebekesini rahatsız etmiştir. IRC şebekesinde
atları gibi kötücül yazılımların çalıştırıldığı, ele geçi- çalışmakta olan iki sunucu, bir birleri arasındaki
rilmiş bilgisayarlardan oluşmaktadır. bağlantıyı kaybedince, her iki tarafta, kısaca “op”
olarak adlandırılan ve o kanalı idare eden kanal opera-
3.9. Ağ taşkını (Flooder) törlerinin sahip oldukları yetki ve konumlar korunma-
lıdır. Eğer oluşan kopma sırasında sunucuların her-
DoS hizmet aksattırma saldırılarına sebep olacak şekilde, hangi birinde bir kullanıcı bulunmuyorsa; kanala o
seri PING (Packet Internet Groper, Paket İnternet Yokla- sırada tekrar katılan insanlar, kanal operatörü konu-
yıcı) veya SYN (eş zamanlama) paketi göndermek munu kazanabilirler. Sunucular daha sonra birleşince
gibi yöntemlerle, bir ağ bağlantısına veya makineye de asıl operatörler kanaldan atılabilir (kick out). Bu,
kasten aşırı yük bindiren yazılımlar, sırası ile ölümüne daha ileri saldırılar için iyi bir zemin sağlayabilir [34].
PING (Ping of Death) ve SYN ağ taşkını olarak Verilen bu örnek dışında, IRC üzerinden yapılan her
adlandırılmaktadır [19]. Bunun dışında sistem günlüğüne türlü saldırıyı kolaylaştırmak amacıyla kullanılan tüm
(log) defalarca aynı kayıtların tekrarlanması ile gün- araçlar, IRC savaşı olarak sınıflandırılmaktadır [5].
lüğün büyüklüğünü artırarak sistemlere zarar vermeye
çalışan mesaj taşkını saldırıları da bulunmaktadır [33]. 3.14. Nuker
3.10. Saldırgan ActiveX (Hostile ActiveX) Uygun şekilde yamalanmamış veya güvenlik duvarı
olmayan Windows işletim sistemli makinelere yapılan
Genellikle kullanıcıların bilgisayarlarına kaçak indirme WinNuke DoS saldırısı için kullanılan “nuke” terimi
ile (drive-by-download), İnternet Gezginine kurulan (nuke: nükleer silah), şu an için çeşitli TCP/IP DoS
yazılımlardır. Bu tür bir uygulama, sisteme bir kez saldırılarının genel adı olarak da kullanılmaktadır [35].
kurulunca, bilgisayar üzerinde normal bir program gibi, Ticari yazılımların yasal olmayan biçimde dağıtıldığı
genelde kullanıcıdan gizli olarak çalışabilir ya da diğer “warez” adı verilen bilgisayar dünyasında “Nuker”,
kötücül yazılımları indirip, kurabilir. Bazı saldırgan warez grubunun kurallara uymasını denetleyen kişi-
ActiveX yazılımları meşru ve imzalı ActiveX kontrol- lere verilen addır.
lerinin adını kullanarak da, kötü niyetlerini saklayabil-
mektedirler [11]. 3.15. Paketleyici (Packer)
3.11. Saldırgan Java (Hostile Java) Bir prosesin içine bir dosyayı şifreleyerek sıkıştıran
yardımcı programlardır. Program çalıştırıldığında, bel-
İnternet tarayıcıları, Java programını sarmalayan (en- lekteki dosyayı kendiliğinden açan bir başlığı prosese
capsulate) ve yerel makineye erişimi önleyen bir sanal ekler [36]. Paketleyiciler, Truva atı geliştiricileri tara-
makineye (virtual machine) sahiptir. Bir Java uygula- fından, çalışmalarının virüs korunma ürünleri tarafın-
macığının (applet) arkasında yatmakta olan teori, dan saptanmasını önlemek için kullanılmaktadır.
çalıştırılan uygulamacığın, büsbütün bir uygulama
olmasından ziyade; tıpkı ekran üzerinde gösterilen 3.16. Ciltçi (Binder)
yazı ve şekiller gibi bir içerik sunacak şekilde çalış-
masıdır. Bu şekilde Java yazılımlarının sistem güven- Dosya yönetimi açısından ciltçi, Microsoft’un ciltçi
liğini tehdit etmediği düşünülmekteydi. 2000 yılında, yazılımı gibi, türleri farklı da olabilecek birden fazla
bilinen bütün tarayıcıların aslında, bu “kum torbala- dosyayı tek bir dosya haline getiren yazılımlardır.
rını” (sandbox) aşacak güvenlik açıklarına sahip olduğu Fakat ne yazık ki bu tip dosyaların içine Truva atları
anlaşıldı [29]. Birçok güvenlik uzmanı bu durum gibi kötücül yazılımların da paketlenmesi mümkündür.
karşısında, ya Java seçeneğini etkisiz kılmayı ya da Bu yüzden Microsoft dâhil birçok yazılım üreticisi, bu
daha ileri kum torbaları ve sanal makinelerle Java tip yazılımları üretmeyi bırakmışlardır [37].
uygulamalarını sarmalamayı önermektedir.
3.17. Şifre Yakalayıcılar ve Şifre Soyguncular
3.12. Saldırgan Betik (Hostile Script) (Password Capture and Password Hijacker)
.VBS, .WSH, .JS, .HTA, .JSE ve .VBE uzantılı metin Sistemde girilen şifreleri yakalayıp kaydetmeye yönelik
dosyalarından oluşan ve Microsoft WScript veya Micro- çalışan casus programlardır. Bu tür programlar konak
soft Betikleme Konak Uygulaması (Microsoft Scripting içinde çalışabileceği gibi ağ üzerindeki paketler içinde
Host Application) tarafından yürütülen metin dosyaları, hesap ve şifre bilgilerini saptayıp, elde edebilmekte-
istenmeyen faaliyetleri icra etmek amacıyla kullanıla- dirler [18].
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 129
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
3.18. Şifre Kırıcılar (Password Cracker) mesajın içine gömülmediğinden, e-posta programının
mesaj penceresinde gösterilebilmesi için harici bir
Kaba kuvvet ve sözlük tabanlı deneme yanılma yön- adresten indirilmektedir. Resmin dosya olarak bulun-
temlerini de içeren; bir şifreyi veya şifreli bir dosyanın duğu bu bağlantının hareketlerinin kaydını tutan web
şifresini çözen araçlardır [38,39]. Şifre kırıcılar, gü- sunucusu, mesajı okuyan kişinin IP adresini, resmin
venlik yöneticileri tarafından meşru bir biçimde, kul- gösterilme süresini ve buna benzer birçok bilgiyi elde
lanıcılar tarafından tanımlanmış olan zayıf şifrelerin edebilmektedir [44]. Bu tür bir mesajı açan kişi, en
bulunması ve bu şifrelerin değiştirilmesinin, daha gü- azından kendi e-posta adresinin geçerli ve kullanılan
venilir bir sistem oluşturmak için, kullanıcıdan talep bir adres olduğunu karşı tarafa ifşa etmektedir. Bu
edilmesi için de kullanılabilmektedir [40]. şekilde ileride birçok mesaj aynı e-posta adresine
gönderilebilir.
3.19. Anahtar Üreticiler (Key Generator)
Yazılımların yasal olmayan yollarla kopyalanmasını Web sayfaları ve e-postalar dışında Microsoft Word,
önleyerek, lisanslı yazılım kullanıma sevk etmek ama- Excel ve PowerPoint gibi ofis programı belgelerinde de
cıyla oluşturulan anahtar (yazılım lisans numarası) ta- web böceği uyarlamasının gerçekleştirilmesi mümkündür
banlı yazılım korumalarını, meşru anahtarlar üreterek [45].
kıran araçlardır. Bu araçları kullanan kişiler, yazılımı 3.24. Aldatmaca (Hoax)
satın almadan kopyalayıp kurdukları programlardan,
yetkili kullanıcı gibi faydalanabilirler. Kullanıcıları, olmayan bir şeyin varlığına ikna etmeyi
amaçlayan her türlü “numara”, aldatmaca olarak sınıf-
3.20. E-posta Bombalayıcı (E-mail Bomber) landırılmaktadır. Aldatmacanın en yaygın biçimde
gerçekleşen türü, aslında olmayan bir virüs ya da kö-
Hedef kişinin e-posta gelen kutusunu (inbox), binlerce tücül yazılım hakkında insanları uyaran mesaj sağa-
e-posta ile bombardıman eden kötücül yazılımlardır. naklarıdır. Bunun dışında inanılması zor hayali olaylar,
Gönderilen e-postalardan, gönderen kaynağın bilgisini dini veya insani konular içeren çeşitli aldatmaca
elde etmek mümkün değildir [33]. mesajları ve ünlü veya önemli kişilerden geliyormuş
3.21. Kitle Postacısı (Mass Mailer) gibi gönderilen mesajlar, sık sık kullanıcılara iletil-
mektedir [ 46 ]. Bir mesajın aldatmaca olduğunun
E-posta yolu ile virüs gönderen kötücül yazılımlardır. farkına varamayan kişiler, mesajı yardımcı olmak
1987’de yaşanan ilk CHRISTMA EXEC solucanı [41] amacıyla başka kişilere de ileterek, aldatmacanın daha
ve 1999 yaşanan Melissa virüsü, bu tür kötücül yazı- da fazla yayılmasına alet olurlar. Bu tip aldatmacalar,
lımlarla yayılmıştır [42]. gereksiz İnternet trafiğine ve zaman kaybına yol
açmaktadır. Bunun dışında örneğin önemli bir işletim
3.22. E-posta Hasatçısı (E-mail Harvester) sistemi dosyasını, zararlı bir dosya gibi gösteren
aldatmacaya inanan kişi, belirtilen dosyayı silerse
Mesaj sağanağı oluşturmak veya sazan avlamak isteyen sistemin tamamen çalışmamasına neden olabilmektedir.
kötü niyetli kişiler için, insanların kendi kişisel bilgi- Bu yüzden, aldatmaca türünde mesajları hiç dikkate
sayarlarında bulunan özel ve dış dünyaya yayılmamış almamak yerinde bir davranış olacaktır [47].
e-posta adreslerini elde etmek çok önemlidir. Bu sayede
çok sayıda gerçek kişiye erişmek mümkün olmaktadır. 3.25. Sazan Avlama (Phishing)
E-posta adres hasatçıları, çeşitli yöntemlerle bilgisa-
yarlarda sabit disklerde bulunan e-posta adreslerini Dilimizde kullanılmak amacıyla “sazan avlama” olarak
veya adres listelerini kullanıcıdan habersiz, bir sunu- bir karşılık önerilen phishing, kimlik hırsızlığı (identity
cuya iletirler. Mimail virüsü bu amaçla hazırlanmış theft) adı verilen banka hesap numaraları, kredi kartı
hasatçılara bir örnektir. E-posta adres hasatçılarını tespit numaraları gibi kişisel bilgilerin, banka gibi resmi bir
etmek için daha önce hiç kullanılmamış bir “iz sürme” e- kurumdan gerçekten gönderilen resmi bir mesaj gibi
posta adresi yem olarak kullanılabilir. Bu adrese gelen gözüken e-postalarla kişilerden elde edilmesidir. Sosyal
ilk e-posta iletisini gönderen kişinin, e-posta adres mühendisliğin bir uygulama alanı olan bu tür sahte e-
hasatçısı ile ilişkili olduğu iddia edilebilir [43]. postalarını alan kişi, istenilen gizli bilgileri göndere-
rek, bu bilgilerin kötü niyetli üçüncü şahısların eline
3.23. Web Böcekleri (Web Bugs) geçmesine ve akabinde oluşabilecek zararlara maruz
kalınmasına neden olacaktır [ 48 ]. Phishing için
İz sürme böceği (tracking bug), piksel etiketi (pixel İngilizce “password harvesting fishing”in (şifre hasadı
tag), web feneri (web beacon) veya temiz GIF (clear avcılığının) bir kısaltması olduğu ya da 1980’de ilk
GIF) olarak da bilinen web böceği, HTML tabanlı bir kez psikolojik teknikler kullanarak kredi kartı bilgilerini
e-posta mesajını veya bir web sayfasını kimlerin, kaç elde eden Brien Phish’e bir atıf olduğu belirtmektedir.
kez görüntülediği ve mesajla ne kadar süre ilgilendiği Amerika’da 57 milyon insanın farklı teknikler kullanı-
gibi bilgileri elde etmek amacıyla kullanılan ilginç ve larak sazan avlamaya maruz kaldığı ve sazan avlama
sıradan kullanıcı tarafından pek bilinmeyen bir tekniktir. sebebi ile 2003 yılında 500 milyon $’lık bir kayıp
Web böceği, saydam veya artalan renginde ve genelde ortaya çıktığı rapor edilmiştir [49].
1x1 piksel boyutunda küçük bir resimdir. Bu resim,
130 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
İnternet üzerinden veya e-posta ile yapılan bir dolan- Olası korunmasızlıkları aramak amacıyla başka bir
dırıcılık türüdür. Genellikle İngilizce olarak yazılma- sistemi araştıran araçlardır. Sondaj araçları, güvenlik
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 131
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
durumlarını desteklemek isteyen güvenlik yöneticileri paylaşılan çerezler iz sürme çerezleri olarak adlandı-
tarafından meşru bir biçimde kullanılabileceği gibi; rılmaktadır [55].
bir sisteme ne tür bir saldırı yapılabileceğini araştır-
mak isteyen saldırganlar tarafından da kötü amaçlarla 3.35. Turta (PIE)
kullanılabilir. Bu tür araçlara örnek olarak NT Güvenlik
Tarayıcı (NT Security Scanner) verilebilir. PIE (Persistent Identification Element, İnatçı Kimlik
Elemanı) olarak adlandırılan yapılar, birçok tarayıcı ve
3.30. Arama Motoru Soyguncusu (Search Hijacker) karşı casus yazılımların iz sürme çerezlerini engelle-
meleri sonucunda ortaya çıkan arayışın son örnekle-
İnternet tarayıcıların varsayılan arama motoru ayarlarını rinden biridir. Hali hazırda kullanılan bu yöntemlerin
değiştirmek amacıyla hazırlanan kötücül yazılımlardır. başında, Macromedia Flash MX uygulamasının yerel
Bu şekilde arama yapmak isteyen kullanıcının sorguları paylaşılan nesneleri (local shared objects) gelmektedir.
veya olmayan veyahut yanlış girilen bir adres sonucu Flash canlandırmaları son zamanlarda web sayfaların-
açılacak, varsayılan arama sayfası, başka bir siteye da oldukça yaygın bir şekilde kullanılmaktadır. Bu tür
yönlendirilmektedir. canlandırmaları oynatabilen programlar arasında Macro-
3.31. Koklayıcı (Sniffer) media Flash Player, Mart 2005’e göre % 98 ile birinci
sırada bulunmaktadır [56]. Flash biçeminde bir reklâm
Bir ağ üzerindeki IP paketlerini “koklamak” için kul- içeren bir web sayfası, bir çerez gibi işlev gören SOL
lanılan donanım ve yazılımlar, koklayıcı olarak adlan- uzantılı bir dosyayı genellikle “\ Documents and Settings
dırılmaktadır. Koklayıcı yazılım veya donanım, bütün \ {kullanıcı_adı} \ Application Data \ Macromedia
paketleri dinleyen ayrımsız kipe (promiscuous mod) \ Flash Player \” klasöründe alt klasörlerin altında
geçerek bütün ağ trafiğini dinler ve kaydeder. Bu tutmaktadır. İşte bu dosyaların incelenmesiyle, kulla-
paketler içinde yer alan şifre bilgileri gibi önemli nıcıların İnternet’te gezinme alışkanlıkları rahatlıkla
bilgiler, paket içeriği taranarak elde edilebilir. Ağ üze- izlenebilmektedir.
rinde kullanılan aktif ağ cihazları, paketleri sadece
ulaşılması istenen adrese yönlendirerek, koklayıcıların 3.36. Damlatıcı (Trickler)
paketleri elde etmesinin önüne geçebilmektedir. UNIX
sistemlerinde ifconfig komutunun çıktısında PROMISC Otomatik yazılım indirme tekniklerini kullanan bu casus
bayrağı bulunuyorsa sistemde koklama yapılıyor demek- yazılım, arka planda gizli ve çok yavaş bir şekilde
tir [54]. (damla damla) bir yazılımın, hedef bilgisayara indiril-
mesini ve indirilen bu yazılımın kullanıcının haberi
3.32. Kandırıcı (Spoofer) olmadan kurulmasını sağlar. Damlatıcılar, bir casus
yazılımın bilgisayara sessizce kurulumuna olanak sağ-
Kandırıcılar, saldırganın IP adreslerinin sahtelerini ladığı gibi; kullanıcı o casus yazılıma ait bazı bileşen-
üretmek (IP kandırma, IP spoofing) amacıyla kulla- leri, karşı casus yazılımlar kullanarak veya bizzat
nılır. Şirinler (Smurf, çizgi film) ve Fraggle (Muppet silerek kaldırdığında, eksik öğeleri tekrar indirerek
şov’daki yaratıklara verilen ad) saldırıları, bugünlerde casus yazılımın bilgisayar kayıtlarının sürdürmesine
kullanılan kandırma saldırılarının en başında gelenleri- de yol açması açısından tehlikeli yapılardır.
dir. Saldırılmak istenen hedef makinenin adresi, paketi
gönderen adres olarak yazıldığı bir sahte paketin, bir 3.37. Savaş Telefon Çeviricileri (War Dialer)
yayın (broadcast) adresine gönderilmesi ile bu saldırı-
lar başlatılır. Yayın bölgesinde var olan bütün maki- Hayalet program telefon çevirme (demon-dialing) ve
neler hedef makineye cevap paketlerini gönderir. Bu taşıyıcı tarama (carrier-scanning) olarak da adlandırılan
da hedef makinenin İnternet bağlantısına aşırı yük savaş telefon çeviricileri, 1983’de yapılan “Savaş
bindirir. IP kandırıcı dışında, başka isimle e-posta me- Oyunları” (War Games) filmi ile popülerlik kazanmıştır
sajı göndermeye yarayan e-posta kandırıcı ve bir web [57]. Bu türde bir aralıktaki telefon numaraları çevrilir
sitesinin sahtesinin yayınlanmasıyla yapılan web kan- ve çağrıyı otomatik olarak cevaplayan bir makine
dırıcı yöntemleri de bulunmaktadır [20]. aranır. Birçok kuruluşun bu tür çağrıları cevaplaması
için kullandığı modem takılı makineleri bulunmaktadır.
3.33. Casus Yazılım Çerezleri (Spyware Cookie) Bu makinelere yapılacak saldırılar bu araçlarla saptan-
maktadır [18].
Sitelerin İnternet üzerinde daha kullanışlı bir hizmet
vermek amacıyla kullandıkları çerezler, kötü amaçlara 3.38. Tavşanlar (Wabbit)
da hizmet verebilmektedir. Kişisel kullanıcı bilgilerinin
elde edilmesi ve paylaşılması amacıyla bu çerezler Virüs ve solucanlar dışında daha az yaygın olan “tav-
kullanılabilmektedir. şanlar”, kendi kendine çoğalan diğer bir tür kötücül
yazılım türüdür [ 58 ]. Virüsler gibi konak program
3.34. İz Sürme Çerezleri (Tracking Cookie) veya belgelerine bulaşmazlar ve solucanlar gibi diğer
bilgisayarlara yayılmak için ağ yeteneklerini kullan-
Bir kullanıcının İnternet üzerinde gezinme geçmişini mazlar. UNIX komutu “fork” ile çok miktarda proses
izlemek amacıyla, iki veya daha fazla web sayfasında üreten “fork bombası” en basit wabbit örneğidir [59].
132 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
İngilizce önerilen isim, “Buggs Bunny” çizgi filminde, yici, ciltçi, şifre yakalayıcılar - soyguncular, şifre
Elmur Fudd adındaki tavşanı avlamaya çalışan çizgi kırıcılar, anahtar üreticiler, e-posta bombardımanı, kitle
roman kahramanının, tavşanı (rabbit) söyleme şeklin- postacısı, adres hasatçı, web böcekleri, aldatmaca, sazan
den gelmektedir. Doğada bulunan tavşanlar gibi, bu avlama, web sahtekârlığı - dolandırıcılığı, telefon kırma,
kötücül yazılımlar da hızlı bir şekilde çoğalma yetene- port tarayıcılar, sondaj aracı, arama motoru soyguncusu,
ğine sahiptir. koklayıcı, kandırıcı, casus yazılım ve iz sürme çerez-
leri, turta, damlatıcı, savaş telefon çeviricileri ve tav-
4. SONUÇLAR VE DEĞERLENDİRMELER şanlar adı altında ve her biri farklı amaçlara yönelik
(RESULTS and CONCLUSIONS)
değişik yöntemler kullanan çok çeşitli kötücül yazılı-
Bu çalışmada, bilgi ve bilgisayar güvenliğini tehlikeye mın var olduğu,
sokan kötücül ve casus yazılımlar kapsamlı olarak • Teknolojik olarak korunma teknikleri artarken teh-
araştırılmış, incelenmiş, sınıflandırılmış ve karşılaşıla- ditlerde de artış olduğu,
bilecek tehlikeler göz önüne serilmiştir. • Kötücül yazılımların teknolojik yenilikleri sıkı bir
şekilde takip ederek hızla şekil değiştirdiği,
Literatür incelendiğinde, kötücül ve casus yazılımlar
üzerine böyle kapsamlı bir çalışmanın ilk kez yapılmış • Çoğunlukla, insanların bilgisizliklerinden, tecrübe-
olması, magazinsel ve ticari bilgilerin dışında bu ko- sizliklerinden ve zaaflarından faydalanıldığı,
nunun akademik gündeme taşınması açısından da önem • Kullanıcıların akıllarına bile gelmeyecek birçok
arz etmektedir. masumane yaklaşımların kullanıldığı,
Bilgisayar kullanıcılarının karşılaşabilecekleri tehlike • Bilgisayar teknolojilerinde var olan açıklardan
ve tehdidin boyutlarını ayrıntılı bir biçimde sunmak, faydalanmanın yanında genelde göz ardı edilen sosyal
bu çalışmanın diğer bir önemli katkısı olarak değer- mühendislik yaklaşımlarına da çok sık başvurulduğu,
lendirilmektedir. • Web teknolojilerinin, bu yazılımların çok kısa sürede
ve kolayca yayılmasına ve yaygınlaşmasına olanak verdiği,
İnceleme sonucunda; bilginin ve teknolojinin iç içe
• Bir sistemin ne kadar karmaşık ya da ne kadar fazla
olduğu, baş döndürücü bir hızda gelişen elektronik
özelliğe sahipse, o kadar hata kipine ve güvenlik za-
ortamlarda, her zaman yanı başımızda olacak bilişim
yıflığına sahip olacağı,
korsanları gibi kötü niyetli kişilerin ve sistemlerin
açığını bulma da, bu açıkları kullanıp sistemlere izinsiz • Kullanıcıların bilgisayar kullanma alışkanlıklarından,
erişmede, sistemlere ve sistemi kullanan kişilere, kişisel İnternet gezinme geçmişini incelemeye, mevcut port
veya kurumsal zarar vermede hemen hemen her yolu açıklarını tespit etmeye, işletim sistemi ve program
denemeye çalıştıkları tespit edilmiştir. Bu saldırılara korunmasızlık açıklarından yararlanmaya, önemli
ve tehditlere karşı tedbir alınabilmesi için, bu tür kritik ve kişisel bilgileri kötü niyetli kişilere gönder-
yazılımların ve kullandıkları yöntemlerin sürekli olarak meye, bilgisayar sisteminde fark edilmeden ve iz bı-
incelenmesi gerektiği, elde edilen bulgular arasındadır. rakmadan çalışmaya, kullanıcı bilgisizlik ve zaafların-
dan faydalanmaya, kullanılan şifrelerin kırılmasına ve
Dünyada ve ülkemizde kötücül ve casus yazılımların yakalanmasına, kendilerini farklı yazılımlar içerisinde
yaygın olarak kullanımda olduğu; fakat kullanıcıların saklayarak kötücül ve casus yazılım tarayıcıları ve
bu tehlike ve tehditlerinden çoğunlukla haberdar ol- koruma programlarını atlatmaya, hatta bu yazılımları
madığı anlaşılmıştır. Kişisel veya kuramsal her hangi devre dışı bırakmaya, bant genişliği, işlemci gibi sistem
bir zararla karşılaşılmaması için, konuya gereken önemin kaynaklarını fark ettirmeden dışarının kullanımına
verilmesi, bilgi birikiminin arttırılması, hassasiyet açmaya kadar birçok yöntem kullandıkları,
gösterilmesi ve gereken önlemlerin alınması gerek- • Bilgisayar sistemlerine çeşitli yollarla kurulan, sisteme
mektedir. gizlice yerleşen, varlığını kullanıcıya fark ettirmeden
çalışan ve sistem hakkında her türlü bilgiyi saldırgan-
Bu çalışmada, sahip oldukları karakteristiklerinin, lara hızlıca aktaran (mesela e-posta kullanarak) casus
kullanım amaçlarının, var olan çeşitlerinin ve kullan- yazılımların, kişisel gizliliği çiğneyerek kimlik hırsız-
dıkları yöntemlerin özetlendiği en genel kötücül lığına neden oldukları,
yazılımlar arasında yer alan; virüsler, solucanlar, Truva • Bilgi ve bilgisayar güvenliği konusunda güvenilir
atları, arka kapılar, mesaj sağanakları, kök kullanıcı sistemler oluşturmak için bu tür yazılımların sürekli
takımları, telefon çeviriciler, korunmasızlık sömürücüleri, olarak takip edilmesi ve gerekli tedbirlerin kısa sürede
klavye dinleme sistemleri, tarayıcı soyma ve casus alınması gerekliliği
yazılımlar ile beraber bir araya getirilerek sunulan, çoğu
yeni, 38 kötücül yazılım genel olarak değerlendirildiğinde; tespit edilmiştir.
• Ana ve yaygın bir şekilde bilinen kötücül yazılım- Kötücül yazılımların geleceği genel olarak değerlen-
ların dışında; reklâm, parazit, hırsız, püsküllü bela dirildiğinde aşağıdaki konular ön plana çıkmaktadır:
yazılım, tarayıcı yardımcı nesnesi, uzaktan yönetim aracı,
ticari RAT, bot ağı, ağ taşkını, saldırgan ActiveX, • Kötücül yazılımların önemli bir süre önemli bir
Java ve betik, IRC ele geçirme savaşı, nuker, paketle- güvenlik konusu olarak kalacağı düşünülmektedir. Sonuç
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 133
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
olarak, kötücül yazılım üreticileri, bilgisayar kullanı- • Kullanıcı haklarının asgari seviyede tutulması,
cılarından her zaman iki adım önde olacaktır [43]. • Sistemlerde ihtiyaç duyulmayan servis ve program-
• Sistemlere zarar vermekten çok, sistemleri her zaman ların kapatılması veya kaldırılması gibi hayat kurtaran
potansiyel kullanımlar için elde tutacak ve kullanıcıları yaklaşımların kullanılması,
kuşkulandırmayacak, arka kapı ve uzaktan erişim araç- • Bilgi ve bilgisayar güvenliğinin sadece yazılım ve
ları gibi kötücül yazılımlar ağırlık kazanacaktır [60]. donanım ile sağlanamayacağının farkında olunması,
• Farklı kötücül yazılım karakteristiklerinin bir araya • İnsan faktörünün devreye girdiği sosyal mühendis-
getirilerek harmanlanmasından oluşan bileşim kötücül liğin hiç bir şekilde göz ardı edilmemesi,
yazılımlar (combo/combination malware) da artış yaşa-
nabilecektir. Bu tür kötücül yazılımlar daha hızlı yayı- • Kişisel olduğu kadar kurumsal yaklaşımların da
labilecek ve daha fazla zarara yol açabilecektir [61]. dikkate alınması,
• Code Red ile beraber, 4. kuşak kötücül yazılımların • Bilgi ve bilgisayar güvenliği konusunda, işyerlerinde
ilgi alanı diz üstü bilgisayarlara doğru kaymaktadır. etkin bir şekilde görev alacak profesyonellerin yetişti-
İleride kötücül yazılımların diz üstü bilgisayarların rilmesi ve istihdam edilmesi,
güvenlik açıklarını hedef alacak çok yönlü uygulama- • Mevcut personelin eğitilmesi,
ları görülebilecektir [2]. Birçok işyeri için diz üstü • Kötücül yazılım korunma ve tarama programlarının
bilgisayarlar, çözülmeyi bekleyen önemli bir kötücül geliştirilmesi ve kullanıcılar tarafından düzenli ve en
yazılım sorunudur. güncel hali ile kullanılması,
• Mesaj sağanakları (spam), bir süre daha para kazan- • Mutlak surette, güncel virüs korunma programları-
mak isteyen bilgisayar meraklılarının ilgisini çekecektir. nın kullanılması,
• Mali kazanç olanaklarının arttığı ve teknik imkânla- • Güvenlik duvarları ile sistem güvenliğinin sıkılaştı-
rın geliştiği bir ortamda, daha da az bilgi ve tecrübeye rılması,
ihtiyaç duyacak kötücül yazılım yazarlarının artacağı
düşünülmektedir. Dolayısıyla, kötücül yazılımlar gerek • Saldırı tespit sistemleri kullanılması,
miktar gerekse kapsam bakımından daha da artmaktadır. • Mesaj sağanağı (spam) temizleyici veya uyarıcı
• Kendi kendini kontrol eden, kendini yeniden oluşturan yazılımların kullanılması,
ve kötücül yazılım tarayıcılarına karşı aktif savunma
yapan, daha müzmin kötücül yazılım türlerinin ortaya gerekmektedir.
çıkacağı ön görülmektedir [62].
Bunun yanında, ülkemize özel olarak; bu tür konuların
• Kötücül yazılımlara karşı, saptamadan çok önleme magazinden ziyade akademik çevrelerde de konuşuyor,
konusuna ağırlık veren bir savunma anlayışının etkin tartışılıyor ve üzerinde çalışılıyor olması gereklidir. Bunun
bir şekilde geliştirilmesi ve sürdürülmesi gerekmektedir. için;
Saptama konusunda da sezgisel yaklaşımlar geliştirilmelidir.
Bu inceleme çalışmasının amacı, her ne kadar en teh- • Konuyla ilgili olarak ülkemizde gündem oluşturulması,
likeli sanal dünya tehditlerinden olan kötücül ve casus • Üniversitelerimizde konu ile ilgili araştırmaların
yazılımların bir arada gözden geçirilmesi olsa da; bu yapılması,
tehditlere yönelik korunma yaklaşımları da gözden • Lisans seviyelerinde bilgi ve bilgisayar güvenliği
geçirilmiştir [1,5–7,9,29,37,43,45,63]. Bu çerçevede; derslerinin açılması,
kötücül ve casus yazılımlarla ilgili karşılaşılabilecek
tehdit, tehlike ve riski en aza indirgemek için; • Bilgi güvenliği konularına üniversite öğrencilerin
ilgisinin arttırılması, ya da en azından enformatik
derslerinde mutlaka konunun ele alınması,
• Konu hakkında bilgi birikimi ve deneyimlerin artırılması,
• İşletim sistemi ve programlara ait güvenlik ve sistem • Lisansüstü seviyede konuyla ilgili dersler açılması,
güncellemeleri ve yamalarının düzenli bir şekilde ya- araştırma ödevleri ve uygulamalar geliştirilmesi,
pılması ve bu yapıların en güncel olanlarının kullanılması, • Ürün ve çözümler üretecek bilgi ve bilgisayar gü-
• Korunma yaklaşımlarının belirlenmesi ve uygulanması, venlik firmalarının, yeni güvenlik yazılımları geliştir-
melerine özel teşvikler verilmesi
• Güvenlik politikaları geliştirerek bunların uygulan-
masının sağlanması ve takibinin yapılması,
gerekmektedir.
• Bu politikaların yeni koşul ve uygulama sonuçlarına
göre sürekli gözden geçirilip iyileştirilmesi ve gelişti- Bilgisayar, internet ve bilgisayar ağlarının her geçen
rilmesi, gün arttığı ve hayatımızı gün geçtikçe daha da fazla
• Bu politikalar arasında kullanıcı parolalarının oluş- etkileyen, değiştiren ve yönlendiren sanal dünyanın
turulma kurallarının belirlenmesi ve uygulanması, getirilerinin, faydalarının, kazanımlarının ve olumlu
• Parolaların düzenli bir şekilde değiştirilmesinin sağ- yönlerinin yanında; eğer dikkat edilmez ise, kişisel ve
lanması, kurumsal işleyişi sekteye uğratacağı, verimliliği
düşüreceği, büyük boyutlarda zararlara yol açacağı,
134 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007
Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma G. Canbek ve Ş. Sağıroğlu
Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007 135
G. Canbek ve Ş. Sağıroğlu Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma
27. Gralla, P., Schaeffer, J. P., The Complete Idiot's 47. Shimonski, R. J., Johnson, N. L., Crump, R. J.,
Guide to Internet Privacy and Security, Alpha Security+, Syngress Publishing, 142-143,
Books, 37, January 4, 2002. December 1, 2002.
28. Bishop, M. A., Computer Security: Art and 48. Bennett, J., Digital Umbrella: Technology's
Science, Addison-Wesley Professional, 724-725, Attack on Personal Privacy in America, Brown
December 2, 2002. Walker Press (FL), 47-50, September 1, 2004.
29. Tipton, H. F., Krause, M., Information Security 49. Gralla, P., Windows XP Hacks, O'Reilly, 152-
Management Handbook, CRC Press, 132, 157, April 1, 2005.
1254-1255, December 30, 2003. 50. İnternet: Sanal Dolandırıcılıkta Son Nokta
30. Russell, R., Hack Proofing Your Network, Phishing, İstanbul Emniyet Müdürlüğü.
Syngress Publishing, 78, January 1, 2001. http://www.iem.gov.tr/iem/?idno=147, Mayıs
31. İnternet: Gostev A., Malware Evolution: 2005.
January - March 2005, Kaspersky Lab. 51. İnternet: Consumer Online: Home > Scams >
http://www.viruslist.com/en/analysis?pubid=1624 Major Scams,
54316 , Nisan 2005. http://www.consumer.org.nz/topic.asp?docid=25
32. Reynolds, J., Complete E-Commerce Book: 3&category=&subcategory=&topic=Scams&title
Design, Build and Maintain a Successful Web- =Major%20Scams&contenttype=summary ,
Based Business, CMP Books, 365, April 1, 2004. Eylül 2005.
33. Stephenson, P., Investigating Computer-Related 52. Brown, S., The Complete Idiot's Guide to
Crime, CRC Press, 57-58, September 28, 1999. Private Investigating, Alpha Books, 144-146,
34. Mutton, P., IRC Hacks, O'Reilly, 39-41, July 27, 2004. October 1, 2002.
35. Hausman, K. K., Barrett, D., Weiss, M., Exam 53. Jones, S., Encyclopedia of New Media: An
Cram 2 Security +: Exam Cram SYO-101, Que Essential Reference to Communication and
Publishing, 59, April 10, 2003. Technology, Sage Publications Inc, 212-216,
36. Mandia, K., Prosise, C., Incident Response December 10, 2002.
Second Edition: Computer Forensics, McGraw- 54. Orebaugh, A. D., Ethereal Packet Sniffing,
Hill Professional, 389-390, July 17, 2003. Syngress Publishing, 6-10, 27-28, February 17, 2004.
37. İnternet: Binder, SearchWin2000, TechTarget. 55. Garfinkel, S., Web Security, Privacy &
http://searchwin2000.techtarget.com/sDefinition/ Commerce, 2nd Edition, O'Reilly, 216-221,
0,,sid1_gci948478,00.html , Mayıs 2005. November 1, 2001.
38. Poole, O., Network Security: A Practical Guide, 56. İnternet: Macromedia Flash content reaches
Elsevier, 69-71, December 9, 2002. 98.3% of Internet viewers, Flash Player
39. Pipkin, D. L., Halting the Hacker - A Practical Penetration Survey, March 2005, NPD Research.
Guide to Computer Security, Prentice Hall PTR, http://www.macromedia.com/software/player_ce
52, August 26, 2002. nsus/flashplayer/ , Haziran 2005.
40. Bace, R. G., Intrusion Detection, Sams 57. Petersen, J. K., Understanding Surveillance
Publishing, 151, December 22, 1999. Technologies, CRC Press, 2-9, September 21,
41. İnternet : Zone Labs Virus Information Center, 2000.
Virus Glossary, 58. İnternet: Self Replicating Wabbits – Sounds
http://vic.zonelabs.com/tmpl/body/CA/virusGloss Strange. Brings Chaos, SYL Articles,
ary.jsp , Ekim 2005. http://articles.syl.com/selfreplicatingwabbitssoun
42. Campbell, P., Calvert, B., Boswell, S., Security+ dsstrangebringschaos.html, Eylül 2005.
in Depth, Thomson Course Technology, 83, 59. Chuvakin, A., Peikari, C., Security Warrior,
February 1, 2003. O'Reilly, 324, January 12, 2004.
43. Stewart, J., This business of malware, 60. Furnell, S., Ward, J., Malware comes of age:
Information Security Technical Report. Vol. 9, The arrival of the true computer parasite,
No. 2, 35-41, April 2004. Network Security, 11-15, October 2004.
44. Mena, J., Homeland Security Techniques and 61. Williamson, D., Deconstructing malware: what
Technologies, Charles River Media, 47-48, May it is and how to stop it, Information Security
10, 2004. Technical Report. Vol. 9, No. 2, 27-34, 2004.
45. Vacca, J. R., Computer Forensics - Computer 62. Levenhagen, R., Trends, codes and virus attacks
Crime Scene Investigation, Charles River - 2003 year in review, Network Security, Vol.
Media, 489-490, May 1, 2005. 2004, No. 1, 13-15, January 2004.
46. Burgess, R. C., Small, M. P., Computer 63. Hacker 2004 Raporu, Chip Dergisi, Nisan 2004,
Security in the Workplace, SEO Press, 21, 2005. 44-61, 2004.
136 Gazi Üniv. Müh. Mim. Fak. Der. Cilt 22, No 1, 2007