Trend Micro RUBotted 프로그램은 봇(Bot)에 의해 감염된 사용자 컴퓨터에서 의심스러운 활동을 모니터링하여 감염 여부를 확인할 수 있는 프로그램이다.
예전에 소개해 드린 국내 악성 봇 감염 확인 서비스의 경우 웹 사이트 방문을 통해 확인할 수 있다면 해당 프로그램은 사용자 컴퓨터에 설치된 프로그램을 통해 확인할 수 있으며, 보호나라의 경우 알려진 정보를 근거로 하는 반면 해당 프로그램은 보안제품에서 진단하는 악성 봇 이외에 일정한 규칙에 따라 진단할 수 있다는 장점이 있다고 보시면 됩니다.
프로그램의 설치 완료 단계에서는 그림과 같이 시스템 트레이에 Trend Micro RUBotted 아이콘이 생성된다는 내용을 안내하고 있습니다.
실제 설치된 환경에서 해당 프로그램은 윈도우 시작시 자동으로 실행되어 사용자의 컴퓨터에서 동작하는 네트워크를 감시하여 악의적인 Bot에 의한 활동을 모니터링하도록 되어 있습니다.
현재 Trend Micro에서는 Beta 버전 형태로 제공하고 있으며, 차후에 통합 제품에 적용할 예정으로 알려져 있는데, 감염되지 않은 정상적인 컴퓨터에서는 그림과 같이 [No Bots Found]라는 메시지를 출력하고 있습니다.
● View log
해당 메뉴는 45일 동안 기록된 모든 의심스러운 활동에 대한 로그(Log)를 기록하여 보여주고 있으며, 기본적으로 현재 사용자 컴퓨터를 30초 단위로 모니터링을 한다고 밝히고 있습니다.
● Settings
해당 프로그램의 환경 설정에서 지정한 항목 그대로 이용하시면 될 정도로 간편하게 구성되어 있습니다.
1. Monitor Http Incoming : Http(Port 80)를 통해 유입되는 네트워크 감시
2. Monitor Smtp Outgoing : Smtp 프로토콜을 통해 나가는 네트워크 감시(스팸 메일 발송)
3. Monitor Irc Request : Irc 요청 감시(특정 외부 명령 수행)
4. Monitor Dns Query : Dns Query 감시(특정 사이트 공격을 위한 연결)
해당 프로그램에서 모니터링 하는 내용은 대체로 특정 악성 봇에 감염된 경우 발생할 수 있는 네트워크 변화를 감시하여 알려지지 않은 위협에 대한 경고를 하도록 구성되어 있습니다.
해당 프로그램은 발견된 특정 악성코드에 대한 치료 기능을 제공하는 것이 아닌 의심스러운 사용자 컴퓨터에서 외부와 연결된 네트워크 정보를 근거로 알림 기능을 제공하는 것이므로 만약 경고를 받게되면 신뢰할 수 있는 보안제품을 통하여 시스템 정밀 검사를 통한 치료와 보안업체에 문의를 하시기 바랍니다.