Dropper
Ein Dropper oder Viren-Dropper ist eine eigenständig ausführbares Computerprogramm, das zur Freisetzung eines Computervirus dient.
Dropper werden meist für eine Erstinfektion verwendet, da sich der virale Code anschließend automatisiert weiterverbreiten kann. Ein Viruscode ist kein eigenständig lauffähiges Programm, sondern parasitär auf anderen Programmcode angewiesen. Für seine erstmalige Ausführung dient der Dropper daher als spezielles Trägerprogramm.
Funktion
Dropper können unterschiedlich konzipiert sein, bspw. als:
- Hacker-Tool: Zur gezielten und wissentlichen Infektion, bzw. als Werkzeug zur gezielten Infektion (Sabotage) eines Fremdsystems. Es sind auch Tools im Umlauf, bei denen man aus mehreren, bereits bekannten Viren auswählen kann.
- Trojanisches Pferde („Trojaner“): Der Dropper ist von anderen Personen nicht zu erkennen und soll ein fremdes System heimlich mit einem Virus infizieren. Wird der Dropper als Trojanisches Pferd im eigentlichen Sinne eingesetzt, wird er meist einfach umbenannt, eventuell mit einem anderen Icon versehen oder in manchen Fällen auch komplett in ein reguläres, funktionstüchtiges Programm eingebaut. Dropper sind oft in Dateien aus Tauschbörsen enthalten und tarnen sich zum Beispiel als No-CD-Cracks. Da diese Programme dafür bekannt sind, bei Virenscannern Fehlalarme zu verursachen, ist die Chance einer erfolgreichen Infektion trotz Virenschutz deutlich höher. Ein Anwender der diesbezüglich bereits mehrere Fehlmeldungen des Anti-Viren-Programmes erlebt hat, würde eventuell auch echte Malware als falschen Alarm einstufen.
- Computerwürmer: Seit der Jahrtausendwende wurden mehrere Würmer entdeckt, die einen Dropper für ein Virus integriert hatten. Wurmprogramme, die selbst mit Viren infiziert sind, zählen nicht als Dropper. Später wurde es aber beliebter, weitere Malware auf den kompromittierten Rechner aus dem Internet nachzuladen. Dieser Typ Malware wird meist als Trojan Downloader bezeichnet und hat den klassischen Dropper teilweise verdrängt.
- Hybridvirus: Eine Sonderform eines Dateivirus, das zusätzlich auch einen Bootsektorvirus droppen kann.
Alternativ zur Verwendung eines Droppers betten viele Virenprogrammierer den Virus-Code einfach manuell, z. B. mit einem Hex-Editor, in ein ausführbares Programm ein. Auf diesem Weg wurde das Virus Rushhour, dessen Entwicklung von Bernd Fix genau dokumentiert wurde, erstmals mit einer Wirtsdatei zusammengesetzt. Später wurden für diesen Zweck spezielle Tools, sogenannte Linker, entwickelt.
Das künstlich infizierte Programm dient dann quasi als „patient zero“. Durch die virale Aktivität und reguläre Kopien verbreitet sich die Malware anschließend weiter.
Sonderfälle
- Eine weitere abgeänderte Art eines Droppers, die lediglich eine Malware im temporären Speicher ablegt, nennt sich Injector. Diese Version gilt als etwas gefährlicher, weil das System und der Anwender den Schadcode in diesem Fall schwerer bemerken.
- Ein exotischer Dropper war das Dateivirus Hafenstrass 2 für MS-DOS-Rechner. Es verbreitete sich über EXE-Dateien, infizierte gleichzeitig aber auch COM-Dateien mit dem Ambulance-Virus. Da es sich bei beiden Schadprogrammen um Dateiviren handelt, kann man Hafenstrass 2 nicht zu den Hybridviren zählen.
Erkennung und Schutz
Ein On-Access-Scanner eines Antivirenprogramms kann heuristisch erkennen, dass neuer Maschinencode in eine ausführbare Datei (als solche zählt auch der Bootsektor) eingeschleust werden soll, und so verhindern, dass der Virus auf dem betreffenden System abgesetzt wird. Zeitgemäße Betriebssysteme mit Benutzerkontensteuerung (UAC) lassen derartige Programmaktivitäten ohne Administratorenrechte nicht mehr zu. Es werden aber regelmäßig neue Sicherheitslücken entdeckt, die von Malware ausgenutzt werden kann, um eine Infektion doch durchzuführen.
Weblinks
- techopedia.com Techopedia Explains Dropper