IntelliTrap ist eine heuristische Suchtechnologie von Trend Micro zur Erkennung von Bedrohungen, bei denen Echtzeitkomprimierung in Verbindung mit anderen Malware-Merkmalen, z. B. Packer, verwendet wird. Hierzu zählen Viren/Malware, Würmer, Trojaner, Backdoor-Programme und Bots. Virenschreiber versuchen oft, Viren- und Malware-Filter zu umgehen, indem sie unterschiedliche Methoden zur Komprimierung von Dateien anwenden. IntelliTrap ist eine auf Regeln und Mustererkennung basierende Scan-Engine-Technologie, die in Echtzeit bekannte Viren/Malware in den 16 am häufigsten verwendeten Komprimierungsformaten in bis zu 6 Komprimierungsebenen entdeckt und entfernt.
IntelliTrap verwendet dieselbe Scan Engine wie die Virensuche. Demzufolge sind für IntelliTrap die Regeln über den Umgang mit Dateien und die Suche identisch mit denen, die der Administrator für die Virensuche definiert.
Der Agent erstellt Einträge über Bot- und Malware-Funde im IntelliTrap Protokoll. Sie können den Inhalt des Protokolls exportieren, um ihn in den Berichten zu verwenden.
Bei der Suche nach Bots und anderen schädlichen Programmen verwendet IntelliTrap folgende Komponenten:
Viren Scan Engine
IntelliTrap Pattern
IntelliTrap Ausnahme-Pattern
True-File-Type
Bei der Suche nach True-File-Types untersucht die Scan Engine zur Feststellung des tatsächlichen Dateityps nicht den Dateinamen, sondern den Header. Findet die Engine beispielsweise beim Durchsuchen aller ausführbaren Dateien eine Datei "family.gif", geht sie nicht automatisch davon aus, dass es sich um eine Grafikdatei handelt. Daher öffnet die Engine den Datei-Header, überprüft den intern registrierten Datentyp und kann so bestimmen, ob es sich tatsächlich um eine Grafikdatei handelt oder um eine ausführbare Datei, die umbenannt wurde, um unerkannt zu bleiben.
Die True-File-Type-Suche durchsucht zusammen mit IntelliScan nur Dateien, die möglicherweise eine Bedrohung darstellen. Diese Technologien können den Umfang der von der Scan Engine zu durchsuchenden Dateien erheblich (auf etwa ein Drittel) reduzieren. Gleichzeitig aber steigt das Risiko, dass eine gefährliche Datei in das Netzwerk gelangt.
".gif"-Dateien machen einen Großteil der im Internet vorkommenden Dateitypen aus, selten aber beherbergen sie Viren oder Malware, führen bösartigen Code aus oder nutzen bekannte oder potenzielle Sicherheitslücken. Das bedeutet jedoch nicht, dass sie vollständig sicher sind. Immerhin kann ein Hacker mit bösartiger Absicht einer gefährlichen Datei einen völlig harmlosen Namen geben, damit sie unerkannt von der Scan Engine in das Netzwerk gelangen kann. Wird diese Datei dann umbenannt und ausgeführt, kann sie großen Schaden verursachen.
Um wirklich sicher zu gehen, sollten Sie alle Dateien durchsuchen.