Dropper

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Ein Dropper oder Viren-Dropper ist eine eigenständig ausführbare Programm-Datei, die der meist erstmaligen Freisetzung eines Computervirus dient. Computerviren sind keine eigenständigen lauffähigen Programme, sondern befallen nur parasitär anderen Programmcode. Aus diesem Grund benötigt ein Computervirus für seine erstmalige Ausführung ein spezielles Trägerprogramm, den Virusdropper. Der Dropper als solches ist ein trojanisches Pferd („Trojaner“). Die Ausnahme bilden hier einige wenige Dropper, die selbst zu den Dateiviren zählen, aber zusätzlich auch einen Bootsektor-Virus droppen können. Diesen Malware-Typ nennt man auch Hybrid-Virus, da er zwei Typen von Viren vereint. Ein Hybrid-Virus kann wiederum durch ein Trojanisches Pferd als Dropper freigesetzt werden.

Alternativ zur Verwendung eines Droppers betten viele Virenprogrammierer den Virus-Code einfach manuell in ein ausführbares Programm ein, oder verwenden dafür ein Tool, einen sogenannten Linker. Das künstlich infizierte Programm dient dann quasi als "Patient Zero" für die Verbreitung, und wird auf verschiedenen Wegen verteilt.

Ein On-Access-Scanner eines Antivirenprogramms kann heuristisch erkennen, dass neuer Maschinencode in eine ausführbare Datei (als solche zählt auch der Bootsektor) eingeschleust werden soll, und so verhindern, dass der Virus auf dem betreffenden System abgesetzt wird.

Eine weitere abgeänderte Art eines Droppers, die lediglich eine Malware im temporären Speicher ablegt, nennt sich Injector. Diese Version ist etwas gefährlicher, weil ein Anwender den Schadcode nicht direkt bemerken kann.

Dropper sind oft in Dateien aus Tauschbörsen enthalten und tarnen sich zum Beispiel als No-CD-Cracks. Da diese Programme dafür bekannt sind, bei Virenscannern Fehlalarme zu verursachen, ist die Chance einer erfolgreichen Infektion trotz Virenschutz deutlich höher. Ein Anwender der diesbezüglich bereits mehrere Fehlmeldungen des Anti-Viren-Programmes erlebt hat, würde eventuell auch echte Malware als falschen Alarm einstufen.