IntelliTrap — это эвристическая технология Trend Micro, применяемая для обнаружения угроз, которые выполняют сжатие в реальном времени вместе другими вредоносными действиями, например упаковкой. Сюда входят вирусы, вредоносные программы, черви, «троянские кони», «черные ходы» и боты. Разработчики вирусов и вредоносных программ зачастую пытаются скрыть наличие кода путем использования различных схем сжатия. Технология модуля сканирования IntelliTrap работает в реальном времени, использует правила и распознавание по шаблонам. IntelliTrap находит и удаляет известные вирусы в файлах с уровнем вложения до шести слоев, сжатых с использованием любого из 16 известных архиваторов.
IntelliTrap пользуется тем же механизмом сканирования, что и программа проверки на вирусы. Таким образом, правила работы с файлами для IntelliTrap будут такими же, как правила, установленные администратором для программы проверки на вирусы.
Агенты регистрируют случаи обнаружения вредоносных программ и ботов в журнале IntelliTrap. Содержимое журнала IntelliTrap можно экспортировать и включать в отчеты.
При проверке на вредоносные программы IntelliTrap пользуется следующими компонентами:
Модуль вирусного сканирования
База данных IntelliTrap
База исключений IntelliTrap
Истинный тип файла
При включении параметра выявления истинных типов файлов модуль сканирования определяет тип файла по заголовку, а не по расширению. Например, при сканировании всех исполняемых файлов модуль сканирования не будет по умолчанию считать файл family.gif изображением. Вместо этого модуль сканирования откроет заголовок файла и изучит внутренний зарегистрированный тип данных, чтобы определить, действительно ли данный файл является графическим или исполняемым, переименованным для затруднения обнаружения.
Выявление истинных типов файлов работает в сочетании с IntelliScan, чтобы сканировались только файлы потенциально опасных типов. Эти технологии позволяют уменьшить количество проверяемых файлов почти на две трети, однако при этом возникает опасность попадания опасного файла в сеть.
Например, файлы .gif составляют большую часть веб-трафика, но вероятность того, что они содержат вирусы или вредоносное ПО, запускают исполняемый код или используют какую-либо известную или теоретическую уязвимость, очень мала. При этом это не означает, что они являются абсолютно безопасными. Злонамеренный хакер может назвать вредоносный файл «безопасным» именем, чтобы тот проскочил через модуль сканирования в сеть. Если кто-нибудь переименует и запустит данный файл, он причинит вред.
Для обеспечения наивысшего уровня безопасности компания Trend Micro рекомендует сканировать все файлы.