IntelliTrap es una tecnología heurística que Trend Micro utiliza para detectar amenazas que utilizan la compresión en tiempo real en combinación con otras características del malware, como los packers. Entre los packers se incluyen virus/malware, gusanos, troyanos, puertas traseras y programas robot. Los autores de virus suelen intentar evitar el filtrado de virus/malware mediante distintos esquemas de compresión de archivos. IntelliTrap es una tecnología de motor de exploración basada en reglas de reconocimiento de patrones que actúa en tiempo real para detectar y eliminar virus/malware conocidos de archivos comprimidos hasta seis capas con los 16 tipos de compresión más populares.
IntelliTrap utiliza el mismo motor de exploración que la exploración antivirus. Por este motivo, la gestión de los archivos y las reglas de exploración de IntelliTrap serán las mismas que defina el administrador para la exploración antivirus.
Los agentes graban las detecciones de programas robot y malware en el registro de IntelliTrap. Es posible exportar el contenido del registro de IntelliTrap para utilizarlo en informes.
IntelliTrap utiliza los siguientes componentes cuando busca programas robot y otros programas maliciosos:
Motor de exploración antivirus
Patrón de IntelliTrap
Patrón de excepciones de IntelliTrap
Tipo de archivo verdadero
Cuando se configura para explorar el "tipo de archivo verdadero", el motor de exploración examina el encabezado del archivo, en lugar del nombre de archivo, para comprobar cuál es el tipo de archivo real. Por ejemplo, si el motor de exploración está configurado para explorar todos los archivos ejecutables y detecta un archivo denominado “family.gif”, no presupone que se trata de un archivo gráfico. En su lugar, el motor de exploración abre el encabezado del archivo y examina el tipo de datos registrado internamente para determinar si se trata realmente de un archivo gráfico o si es un ejecutable al que se le ha cambiado el nombre para evitar ser detectado.
La exploración de tipos de archivo verdadero funciona junto con IntelliScan para explorar solo los tipos de archivo potencialmente peligrosos. Estas tecnologías pueden reducir hasta dos tercios el número de archivos que examina el motor; esta reducción también crea algún riesgo de que un archivo dañino pueda entrar en la red.
Por ejemplo, los archivos .gif suponen un gran volumen del total del tráfico en Internet pero es improbable que alberguen virus/malware, inicien código ejecutable o aprovechen cualquier vulnerabilidad conocida o teórica. Sin embargo, esto no significa que sean totalmente seguros. Es posible que un hacker malintencionado asigne un nombre de archivo “seguro” a un archivo dañino para que eluda el motor de exploración y pase a la red. Este archivo podría causar daños si alguien le cambiara el nombre y lo ejecutara.
para obtener el mayor nivel de seguridad, Trend Micro recomienda explorar todos los archivos.