TM_Intellitrap

Функция Trend Micro IntelliTrap

IntelliTrap — это эвристическая технология Trend Micro, применяемая для обнаружения угроз, которые используют сжатие в реальном времени вместе с другими вредоносными действиями, например упаковкой. Сюда входят вирусы, вредоносные программы, черви, «троянские кони», «черные ходы» и боты. Разработчики вирусов и вредоносных программ зачастую пытаются скрыть наличие кода путем использования различных схем сжатия. Технология модуля сканирования IntelliTrap работает в реальном времени, использует правила и распознавание по шаблонам. IntelliTrap находит и удаляет известные вирусы в файлах с уровнем вложения до шести слоев, сжатых с использованием любого из 16 известных архиваторов.

При проверке на вредоносные программы IntelliTrap пользуется следующими компонентами:

Истинный тип файла

При включении параметра выявления «истинных типов файлов» модуль сканирования определяет тип файла по заголовку, а не по расширению. Например, при сканировании всех исполняемых файлов модуль сканирования не будет по умолчанию считать файл family.gif изображением. Вместо этого модуль сканирования откроет заголовок файла и изучит внутренний зарегистрированный тип данных, чтобы определить, действительно ли данных файл является графическим, или, например, исполняемым, переименованным для затруднения обнаружения.

Выявление истинных типов файлов работает в комбинации с IntelliScan с тем, чтобы осуществлять сканирование только потенциально опасных типов файлов. Эти технологии уменьшают число обязательных для сканирования файлов (возможно, имеет место уменьшение на 2/3). Однако это уменьшение увеличивает потенциальный риск.

Например, файлы в формате .gif составляют большую часть веб-трафика, но вероятность того, что они содержат вирусы или вредоносное ПО, запускают исполняемый код или используют какую-либо известную или теоретическую уязвимость, очень мала. Означает ли это, что файлы в формате .gif безопасны? Не совсем. Злонамеренный хакер может назвать вредоносный файл «безопасным» именем, чтобы тот смог пройти через модуль сканирования в сеть. Если кто-нибудь переименует и запустит данный файл, он причинит вред.

См. также: