IntelliTrap est la technologie heuristique de Trend Micro utilisée pour découvrir les menaces qui utilisent la compression en temps réel ajoutée à d'autres caractéristiques malveillantes, comme celles des utilitaires de compression. Il peut s'agir de virus/programmes malveillants, vers, chevaux de Troie, backdoors et zombies. Les auteurs de virus tentent souvent d'entraver le filtrage de virus/programmes malveillants grâce à différents systèmes de compression de fichiers. IntelliTrap est une technologie de moteur de scan en temps réel, basée sur des règles et utilisant un système de reconnaissance de signatures. Cette technologie permet de détecter et de supprimer les virus/programmes malveillants connus dans des fichiers compressés avec jusqu'à six couches par l'un des 16 types courants de compression.
IntelliTrap utilise le même moteur de scan que le scan antivirus. Par conséquent, les règles de traitement de fichier et de scan pour IntelliTrap sont les mêmes que celles définies par l'administrateur pour le scan antivirus.
Les agents consignent les détections de logiciels robots et autres programmes malveillants dans le journal IntelliTrap. Vous pouvez exporter le contenu du journal IntelliTrap pour l'inclure dans des rapports.
IntelliTrap utilise les composants suivants pour rechercher les logiciels robots et autres programmes malveillants :
Moteur de scan antivirus
Signature IntelliTrap
Signature d'exception IntelliTrap
Véritable type de fichiers
Lorsqu'il est configuré pour scanner le « véritable type d'un fichier », le moteur de scan examine l'en-tête du fichier et non son nom afin de vérifier son véritable type. Ainsi, si le moteur de scan est configuré pour scanner tous les fichiers exécutables et s'il détecte un fichier appelé « famille.gif », il ne considère pas automatiquement ce fichier comme un fichier graphique. Au lieu de cela, le moteur de scan ouvre l'en-tête du fichier et examine le type de données enregistré en interne pour déterminer si le fichier est effectivement un fichier graphique ou un fichier exécutable renommé de façon à ce qu'il passe inaperçu.
Le scan du véritable type de fichier fonctionne conjointement avec IntelliScan pour scanner uniquement les types de fichier connus comme étant potentiellement dangereux. Ces technologies peuvent réduire, jusqu'à deux tiers, le nombre de fichiers examinés par le moteur de scan ; cette réduction de scan des fichiers implique également le risque qu'un fichier dangereux soit autorisé dans le réseau.
Par exemple, les fichiers .gif représentent une grande partie du trafic Web, mais ils sont incapables de véhiculer des virus/programmes malveillants, de lancer un programme exécutable ou de mener à bien toute exploitation connue ou théorique. Toutefois, cela ne signifie pas qu'ils sont entièrement sûrs. Un pirate malveillant peut toujours attribuer à un fichier dangereux un nom de fichier « sûr » afin que le moteur de scan ne le détecte pas et que le fichier accède au réseau. Ce fichier risque de causer des dégâts si quelqu'un le renomme et l'exécute.
pour un niveau de sécurité optimal, Trend Micro recommande de scanner tous les fichiers.