악성 봇 감염 여부 확인

자신의 컴퓨터가 악성 봇(일명, 좀비 PC)에 감염되었는지 확인하는 용도입니다

악성 봇 감염 여부 확인하기 : 한국 인터넷 진흥원

위 링크를 클릭하셔서 사이트로 이동하시면
아래 그림처럼 확인이 가능합니다

또는, 아래 그림처럼
자신의 컴퓨터에서 간단하게 테스트해 보실 수 있습니다

시작 - 실행 - CMD 를 입력하시고 엔터를 누르면 나타나는 CMD 창에
netstat -b 를 입력하시고 엔터를 누르시면
현재 활성화된 연결 상태가 나타납니다

위 그림에는 TCP 항목 밑에
각 avp.exe 와 WebMa.exe 가 나타났습니다만
혹여 svchost.exe 항목이 나타나면 문제가 있을 수 있습니다

---

포트 번호에 대한 간단히 설명

로컬 주소(Local Address) : 현재 자기 컴퓨터의 주소
외부 주소(Foreign Address) : 자기 컴퓨터에서 접속한 외부에 있는 네트워크의 주소
포트 번호(Port) : 네트워크로 연결할 때 각 연결마다 할당되는 번호
(서버의 포트 번호는 주로 고정, 클라이언트는 주로 랜덤)

여기서 문제가 된게 이 포트 번호인데
일반적으로 1~1024는 예약된 포트 번호로서 랜덤 할당이 되지 않습니다
이 사이에 여러가지 기본적으로 규정된 기본 포트 번호들이 필요한 곳에 쓰입니다
(주로 서버의 포트 번호로 쓰입니다)

우리가 일반적으로 '인터넷 웹브라우저로 특정 사이트에 연결한다'고 할 때
단순히 http://windowsforum.kr/ 혹은
http://211.115.207.229/ 이런 식으로 입력해서 연결하는데
이는 사실 축약형입니다
실제로는 http://windowsforum.kr:80/
혹은 http://211.115.207.229:80/  이런 형태로 연결하게 됩니다

즉, 80번이란 포트 번호는 http로 쓰인다는 기본 규정이 있기 때문에
생략이 가능합니다
(본문의 스샷에 외부 주소에 포트 번호 자리에 전부 'http'라고 쓰인게
80번임을 의미하는겁니다)

'서버 프로그램'이 돌면서 기본적으로 이 80번 포트를 쓰는데
한 컴퓨터에서 또 다른 웹서비스를 제공해야 할 필요가 있을 때가 있는데
이미 80번 포트는 쓰고 있다면 어떻게 해야할까요?

규정된 사항은 아니지만
임의로 80번 대신 8080, 8000번이라는 포트 번호를 설정해서 쓰게 됩니다
그런 식으로 하나의 아이피에서 다른 웹서비스 제공이 가능해지죠
물론 1024번 이상의 번호라면 아무거나 써도 됩니다
주로 http 웹서비스일 경우에 8080, 8000을 써서 나름의 표시를 하는거죠

그런데 말씀드렸다시피
80, 8080, 8000 이 번호들은 '서버'에서 쓸 포트 번호들입니다
'외부 주소'에 이 번호들이 있는 건 거의 문제가 되지 않습니다

그런데 이 번호들이 자기 컴퓨터, 즉, '로컬 주소'에서 할당되었다면요?
그건 바로 '내 컴퓨터가 누군가가 접속해서 쓰는 서버가 되었을 가능성이 높다'는 뜻이 됩니다

랜덤으로 할당하는 범위는 1025~65535이므로
우연히 걸렸을 가능성은 거의 없습니다

즉, 자기도 모르게 '내 컴을 서버로 활용하는 무언가가 존재한다'는 뜻이고
결국 그게 지금 시끄러운 '좀비 PC' 입니다

즉, netstat 명령을 썼을때 왼쪽에 있는 목록(로컬 주소 목록)에서
80(http), 8080, 8000이 할당되어 있다면
자기가 일부러 서버를 돌리지 않는 한 99% 의심할 상황이라는거죠

그리고 로컬 주소에 80, 8080, 8000번이 없다고 해서
무조건 안심하실 문제도 아닙니다
말씀드렸다시피, 1025~65535의 범위내라면 아무거나 써도 됩니다

어디서 쓰는지 정체모를 포트가 있다면 의심해봐야겠죠
(다만, netstat -b로 확인할 경우 원래 정상적으로 할당되었으나
연결이 종료된 흔적이 남아서 프로그램에 묶이지 않고 표시될 수 있습니다)

▶ 기사 원문 보기

---

좀비 PC 확인

아래 첨부된 프로그램을 실행한 그림입니다

zbpc_check.exe

관련 기사 ▶ '그리드딜리버리' 기사 보기