IntelliTrap ist eine heuristische Technologie von Trend Micro zur Erkennung von Bedrohungen,
bei denen die Echtzeitkomprimierung mit anderen Malware-Eigenschaften (z. B. Packern)
gekoppelt ist. Diese Technologie erkennt Viren/Malware, Würmer, Trojaner, Backdoor-Programme
und Bots. Virenautoren versuchen häufig, Viren-/Malware-Filter zu umgehen, indem sie
unterschiedliche Methoden zur Komprimierung von Dateien anwenden. IntelliTrap ist
eine regelbasierte Scan Engine-Technologie zur Erkennung von Patterns in Echtzeit,
die bekannte Viren/Malware in den 16 am häufigsten verwendeten Komprimierungsformaten
mit bis zu 6 Komprimierungsebenen erkennt und entfernt.
 |
Hinweis
IntelliTrap verwendet dieselbe Scan Engine wie die Virensuche. Aus diesem Grund sind
die Regeln zum Umgang mit Dateien und zur Suche für IntelliTrap identisch mit denen,
die der Administrator für die Virensuche definiert.
Der Agent verzeichnet Bot- und Malware-Funde im IntelliTrap Protokoll. Sie können
den Inhalt des Protokolls exportieren, um ihn in den Berichten zu verwenden.
Bei der Suche nach Bots und anderen schädlichen Programmen verwendet IntelliTrap folgende
Komponenten:
|
True-File-Type
Bei der Suche nach „True-File-Types“ untersucht die Scan Engine zur Feststellung des
tatsächlichen Dateityps nicht den Dateinamen, sondern den Datei-Header. Findet die
Engine beispielsweise beim Durchsuchen aller ausführbaren Dateien eine Datei „family.gif“, geht sie nicht automatisch davon aus, dass es sich um eine Grafikdatei handelt.
Daher öffnet die Engine den Datei-Header, überprüft den intern registrierten Datentyp
und kann so bestimmen, ob es sich tatsächlich um eine Grafikdatei handelt oder um
eine ausführbare Datei, die umbenannt wurde, um unerkannt zu bleiben.
Die True-File-Type-Suche durchsucht zusammen mit IntelliScan nur Dateitypen, von denen
bekannt ist, dass sie möglicherweise eine Bedrohung darstellen. Mit diesen Technologien
lässt sich die Zahl der von der Scan Engine untersuchten Dateien um bis zu zwei Drittel
verringern; allerdings birgt eine solche Verringerung der durchsuchten Dateien auch
ein gewisses Risiko, dass eine schädliche Datei auf dem Netzwerk zugelassen werden
könnte.
.gif-Dateien machen beispielsweise einen Großteil der im Internetverkehr vorkommenden
Dateitypen aus, selten aber beherbergen sie Viren/Malware, führen bösartigen Code
aus oder nutzen bekannte oder potenzielle Sicherheitslücken. Dies bedeutet jedoch
nicht, dass sie vollkommen sicher sind. Immerhin kann ein Hacker mit bösartiger Absicht
einer gefährlichen Datei einen völlig harmlosen Namen geben, damit sie unerkannt von
der Scan Engine in das Netzwerk gelangen kann. Wird diese Datei dann umbenannt und
ausgeführt, kann sie großen Schaden verursachen.
 |
Tipp
Um wirklich sicher zu gehen, sollten Sie alle Dateien durchsuchen.
|
