본문 바로가기

벌새::Software

좀비PC 확인 프로그램 : Trend Micro RUBotted 12.0.0.58849 Beta

반응형
해외 보안업체 트랜드 마이크로(Trend Micro)에서 제공하는 무료 네트워크 모니터링 프로그램 Trend Micro RUBotted 12.0.0.58849 Beta 버전을 소개해 드리겠습니다.

Trend Micro RUBotted 프로그램은 봇(Bot)에 의해 감염된 사용자 컴퓨터에서 의심스러운 활동을 모니터링하여 감염 여부를 확인할 수 있는 프로그램이다.
 
일반적으로 DDoS와 같은 악성코드에 감염된 경우 좀비PC가 되어 공격자의 명령에 따라 스팸 메일 발송, 웹 서버 공격 등과 같은 다양한 활동을 할 경우 이러한 네트워크의 활동에 대한 정보를 제공한다고 이해를 하시면 될 것 같습니다.
 

예전에 소개해 드린 국내 악성 봇 감염 확인 서비스의 경우 웹 사이트 방문을 통해 확인할 수 있다면 해당 프로그램은 사용자 컴퓨터에 설치된 프로그램을 통해 확인할 수 있으며, 보호나라의 경우 알려진 정보를 근거로 하는 반면 해당 프로그램은 보안제품에서 진단하는 악성 봇 이외에 일정한 규칙에 따라 진단할 수 있다는 장점이 있다고 보시면 됩니다.

프로그램의 설치 완료 단계에서는 그림과 같이 시스템 트레이에 Trend Micro RUBotted 아이콘이 생성된다는 내용을 안내하고 있습니다.

실제 설치된 환경에서 해당 프로그램은 윈도우 시작시 자동으로 실행되어 사용자의 컴퓨터에서 동작하는 네트워크를 감시하여 악의적인 Bot에 의한 활동을 모니터링하도록 되어 있습니다.

현재 Trend Micro에서는 Beta 버전 형태로 제공하고 있으며, 차후에 통합 제품에 적용할 예정으로 알려져 있는데, 감염되지 않은 정상적인 컴퓨터에서는 그림과 같이 [No Bots Found]라는 메시지를 출력하고 있습니다.

● View log

 

 해당 메뉴는 45일 동안 기록된 모든 의심스러운 활동에 대한 로그(Log)를 기록하여 보여주고 있으며, 기본적으로 현재 사용자 컴퓨터를 30초 단위로 모니터링을 한다고 밝히고 있습니다.

● Settings

 

해당 프로그램의 환경 설정에서 지정한 항목 그대로 이용하시면 될 정도로 간편하게 구성되어 있습니다.

[모니터링 정보]

1. Monitor Http Incoming : Http(Port 80)를 통해 유입되는 네트워크 감시
2. Monitor Smtp Outgoing : Smtp 프로토콜을 통해 나가는 네트워크 감시(스팸 메일 발송)
3. Monitor Irc Request : Irc 요청 감시(특정 외부 명령 수행)
4. Monitor Dns Query : Dns Query 감시(특정 사이트 공격을 위한 연결)


해당 프로그램에서 모니터링 하는 내용은 대체로 특정 악성 봇에 감염된 경우 발생할 수 있는 네트워크 변화를 감시하여 알려지지 않은 위협에 대한 경고를 하도록 구성되어 있습니다.

해당 프로그램은 발견된 특정 악성코드에 대한 치료 기능을 제공하는 것이 아닌 의심스러운 사용자 컴퓨터에서 외부와 연결된 네트워크 정보를 근거로 알림 기능을 제공하는 것이므로 만약 경고를 받게되면 신뢰할 수 있는 보안제품을 통하여 시스템 정밀 검사를 통한 치료와 보안업체에 문의를 하시기 바랍니다.

728x90
반응형
  • 특정 포트나 프로토콜의 패킷을 검사해서 봇을 찾나 보네요. 지금은 사용자가 어렵사리 분석해서 악성코드등을 찾아내야하는 시기는 아닌가 봅니다.

    그러고보니 국내 보안 업체에서 개발한 시스템 분석툴을 보지를 못했네요. 한글 서비스에 도움말을 충실히 만들어두면 사용자에게도 큰 도움이 될 듯 한데, 하나 정도는 나왔으면 하는 군요.

  • 오호 트렌드 마이크로~~멋진데요~ 사용해봐야겠군요 ㅋㅋㅋ 흥미진진

  • blue 2009.09.11 16:04 댓글주소 수정/삭제 댓글쓰기

    보호나라에서도 좀비pc검사하는것이 있던데 그것의 성능은 과연 어떨지 모르겠네요 ㅎ
    우리나라 업체에서도 이런거 만들어서 배포하면 인기많을거같은데 말이죠~~

    • 프로그램의 원리를 보니 Trend Micro 서버와 연결하여 정보를 주고받는 것으로 보아 단순히 프로그램 내부적인 DB는 아니므로 실시간 Bot 공격에 유용할 것 같습니다.