IntelliTrap è la tecnologia euristica di Trend Micro utilizzata per individuare le minacce che si servono della compressione in tempo reale associata ad altre caratteristiche delle minacce informatiche, come i packer. Tra queste minacce ricordiamo virus e altre minacce informatiche, worm, cavalli di Troia, backdoor e bot. Gli sviluppatori di virus spesso cercano di aggirare il filtro di virus/minacce informatiche utilizzando diversi sistemi di compressione. IntelliTrap è una tecnologia di motore di scansione in tempo reale, basata su regole e sul riconoscimento di pattern, che è in grado di rilevare e rimuovere virus/minacce informatiche noti contenuti nei file compressi fino a sei livelli di profondità creati con uno fra 16 tipi diffusi di compressione.
IntelliTrap utilizza lo stesso motore della scansione antivirus. Di conseguenza, le regole di gestione e scansione dei file per IntelliTrap coincidono con quelle definite dall'amministratore per la scansione antivirus.
L'agent inserisce i rilevamenti di bot e altre minacce informatiche nel registro di IntelliTrap. È possibile esportare i contenuti del registro di IntelliTrap per includerli nei rapporti.
Quando esegue la verifica per rilevare bot e altre minacce informatiche, IntelliTrap utilizza i seguenti componenti:
Motore di scansione antivirus
Pattern IntelliTrap
Pattern eccezioni IntelliTrap
Tipo di file effettivo
Quando è impostato sulla scansione del "tipo di file effettivo", il motore di scansione esamina l'intestazione del file piuttosto che il nome per accertarsi del tipo di file effettivo. Ad esempio, se il motore di scansione è impostato in modo da analizzare tutti i file eseguibili e rileva un file denominato "famiglia.gif", non presume che si tratti di un file di immagine. Il motore di scansione apre l'intestazione del file ed esamina il tipo di dati in esso contenuti per stabilire se il file è effettivamente un file di immagine o, ad esempio, un eseguibile denominato in tal modo per evitare il rilevamento.
Questo tipo di scansione funziona in combinazione con IntelliScan per analizzare soltanto i tipi di file noti come potenzialmente dannosi. Queste tecnologie possono ridurre, di addirittura due terzi, il numero di file esaminati dal motore di scansione. Questa riduzione delle scansioni può determinare una maggiore esposizione della rete al rischio di file dannosi.
Ad esempio, i file .gif rappresentano un ampio volume del traffico Web complessivo, ma è improbabile che contengano virus o minacce informatiche, che eseguano l'avvio di codice eseguibile o che mettano in atto un tipo qualsiasi di sfruttamento delle vulnerabilità, noto o potenziale. Tuttavia, non significa che siano completamente sicuri. Un hacker malintenzionato potrebbe assegnare a un file dannoso un nome file "sicuro" per evitare che esso venga rilevato dal motore di scansione e introdurlo così nella rete. Questo file potrebbe causare danni se rinominato ed eseguito.
Per il massimo livello di sicurezza, Trend Micro consiglia la scansione di tutti i file.