IntelliTrap Temat nadrzędny

Mechanizm IntelliTrap jest heurystyczną technologią firmy Trend Micro służącą do wykrywania zagrożeń wykorzystujących kompresję w czasie rzeczywistym oraz inne charakterystyczne cechy złośliwego oprogramowania, na przykład samorozpakowujące się archiwa. Obejmuje to wirusy, programowanie typu malware, robaki, trojany, samorozpakowujące się archiwa oraz boty. Autorzy wirusów oraz złośliwego oprogramowania często podejmują próby ominięcia zabezpieczeń antywirusowych, stosując różne schematy kompresji. Mechanizm IntelliTrap to działający w czasie rzeczywistym, oparty na regułach i rozpoznawaniu sygnatur, silnik skanowania, który wykrywa i usuwa znane wirusy oraz oprogramowanie typu malware w plikach o nawet 6 warstwach kompresji zastosowanej za pomocą jednego z 16 popularnych algorytmów.
Uwaga
Uwaga
Mechanizm IntelliTrap korzysta z tego samego silnika skanowania, co używany podczas skanowania w poszukiwaniu wirusów. W związku z tym reguły obsługi i skanowania plików mechanizmu IntelliTrap będą identyczne z regułami określonymi przez administratora dla skanowania w poszukiwaniu wirusów.
Agent zapisuje przypadki wykrycia botów i innego złośliwego oprogramowania do dziennika mechanizmu IntelliTrap. Zawartość dziennika mechanizmu IntelliTrap może być eksportowana w celu włączenia do raportów.
Mechanizm IntelliTrap używa następujących elementów podczas sprawdzania w poszukiwaniu botów i innego złośliwego oprogramowania:
  • Silnik skanowania antywirusowego
  • Sygnatura IntelliTrap
  • Sygnatura wyjątków IntelliTrap

Rzeczywisty typ pliku

Po ustawieniu skanowania „rzeczywistego typu pliku” silnik skanowania sprawdza zamiast nazwy nagłówek pliku, aby ocenić rzeczywisty typ pliku. Na przykład, jeśli silnik skanowania zostanie ustawiony tak, aby skanował wszystkie pliki wykonywalne i napotka plik o nazwie „rodzina.gif”, nie założy z góry, że jest to plik graficzny. W takiej sytuacji silnik skanowania otwiera nagłówek pliku i sprawdza zarejestrowany wewnętrznie typ danych, aby ustalić, czy plik rzeczywiście jest plikiem graficznym, czy może plikiem wykonywalnym, którego nazwę zmieniono w celu uniknięcia wykrycia.
Skanowanie rzeczywistego typu pliku działa w połączeniu z funkcją IntelliScan, aby skanować tylko typy plików, o których wiadomo, że mogą stanowić zagrożenie. Te technologie pozwalają ograniczyć liczbę plików sprawdzanych przez silnik skanowania nawet o dwie trzecie, niosąc przy tym jednak pewne ryzyko przeniknięcia szkodliwego pliku do sieci.
Na przykład pliki .gif stanowią znaczną część ruchu w sieci Web, ale jest mało prawdopodobne, aby zawierały wirusy lub złośliwe oprogramowanie, powodowały uruchomienie kodu wykonywalnego albo stanowiły źródło jakichkolwiek znanych bądź teoretycznych zagrożeń. Nie oznacza to jednak, że są całkowicie bezpieczne. Złośliwy haker może nadać szkodliwemu plikowi „bezpieczną” nazwę, aby przemycić go przez silnik skanowania do sieci. Taki plik mógłby wywołać szkody, gdyby zmieniono jego nazwę i go uruchomiono.
Porada
Porada
Dla uzyskania najwyższego poziomu bezpieczeństwa firma Trend Micro zaleca skanowanie wszystkich plików.