ボットに感染したPCを検知するそうです、IRCっぽい通信を検知してるだけだったりしてｗ

　ボットは感染したPCに対し、悪意ある第三者がC＆Cサーバーを使ってネットワーク越しに命令を送る新種のコンピュータ・ウイルス。感染PCを別のウイルスを感染させたり、同じボットに感染したPCを組織化してスパム・メールの送信やDDoS（分散サービス妨害）攻撃に利用したりする
FireEye Botwallは、ボットに感染したPCがC＆Cサーバーと通信する特性を利用して、ボットを検知する。スイッチを流れるトラフィックを監視し、トラフィックの中でC＆Cサーバーと通信するものをボットによる通信と検知する。その際、パケットをキャプチャして通信したファイルを再構成し、ボットを検出する。

URLフィルタと連携して今後感染防止も実装していくそうです。

現在のバージョンはボットの検知だけが可能だが、次のバージョンでボットの感染防止機能も搭載する予定。「URLフィルタリングなどと連携して、ボット感染源となる不正改ざんされたWebページにアクセスできないようにする方法などを検討している」

実際にキャプチャしたトラフィックを仮想環境で実行してボットかどうか判断するそうです。

キャプチャしたトラフィックをアプライアンス内の仮想環境で再現し、本当にボットによる通信かどうか、感染したPCはどれか、といった点を判断する仕組み。この仮想環境は、「Microsoftの正規ライセンスを使ったOS（Windows）環境」（キュウカネン氏）であるのが特徴で、「x86ベースのまったく同じ命令セットを実行可能。コードをステップバイステップでチェックすることもでき、細かい挙動をすべて記録に残すこともできる」という。

• 「仮想環境でボットの動作を再現」、ボット対策専用アプライアンス「FireEye Botwall」