Benutzer:PerseusPhobos/Dropper

Ein Dropper (englisch "Tropfer" oder "Pipette", auch Downloader genannt) ist eine eigenständig ausführbare Datei, die der Installation eines Computervirus auf dem Zielsystem dient.

Verbreitung

Viele Schadprogramme (zum Beispiel die Locky Ransomware) werden als Anhang an Email-Nachrichten versandt und tarnen sich als Rechnung oder andere legitime Dokumente.^[1] Eine Verbreitung über Dateien aus Online-Tauschbörsen ist ebenfalls bekannt.^[2]

Technik

Die Erkennung von Droppern wird durch die Verschleierung des Sourcecodes per Obfuscation und schnelle Modifikationen erschwert.^[3]^[4] Der Dropper selbst ist in einer für den Zielrechner ausführbaren Format geschrieben, z. B. JavaScript^[5] oder als Office-Makro^[1]. Unter Microsoft Windows wird der Windows Script Host (WScript.exe) für Skriptsprachen genutzt, der den Download und Ausführung von Dateien ermöglicht.

Dropper in Sprachen wie JavaScript und VBA/ VBS stehen im Gegensatz zu Viren in selbigen Sprachen, wie dem Loveletter-Virus, die direkt die eigentlichen Aktivitäten der Malware unmittelbar nach Ausführung durchführen. Im Gegensatz zur Malware selbst selbst verteilen sich Dropper nicht, sondern installieren nur die Malware auf dem Zielsystem.^[4]

Denkbare Programmiersprachen und Erweiterungen

JavaScript (Dateierweiterung .js)
Visual Basic for Applications (gepackt in Office-Dateien, wie .doc, .docm, .ppt, .pptx, .xls, .xlsx, .xlsm uvm.)
Visual Basic Script (Dateierweiterung .vbs)
Windows Script File (Dateierweiterung .wsf)

Beispiel

Analyse des Droppers JS/Downloader-BCP von McAffee Labs

Einzelnachweise

↑ ^a ^b Locky Ransomware Arrives via Email Attachment - McAfee. 12. März 2016, abgerufen am 15. Juli 2016 (amerikanisches Englisch).
↑ Sicherheitstipps zu Internet-Tauschbörsen − Norton DE. In: de.norton.com. Abgerufen am 16. Juli 2016.
↑ What is a Dropper? - Definition from Techopedia. Abgerufen am 15. Juli 2016.
↑ ^a ^b What is a Trojan Virus | Internet Security Threats | Kaspersky Lab. In: www.kaspersky.com. Abgerufen am 15. Juli 2016.
↑ Ransomware: Locky kommt jetzt auch über Jscript - Golem.de. Abgerufen am 16. Juli 2016.

[:0-1] Locky Ransomware Arrives via Email Attachment - McAfee. 12. März 2016, abgerufen am 15. Juli 2016 (amerikanisches Englisch).

[2] Sicherheitstipps zu Internet-Tauschbörsen − Norton DE. In: de.norton.com. Abgerufen am 16. Juli 2016.

[3] What is a Dropper? - Definition from Techopedia. Abgerufen am 15. Juli 2016.

[:1-4] What is a Trojan Virus | Internet Security Threats | Kaspersky Lab. In: www.kaspersky.com. Abgerufen am 15. Juli 2016.

[5] Ransomware: Locky kommt jetzt auch über Jscript - Golem.de. Abgerufen am 16. Juli 2016.

[1]

[2]

[3]

[4]

[5]

Anonym

Suche

Benutzer:PerseusPhobos/Dropper

Namensräume

Mehr

Seitenaktionen

Inhaltsverzeichnis

Verbreitung

Technik

Denkbare Programmiersprachen und Erweiterungen

Beispiel

Einzelnachweise

Navigation

Navigation

Mitmachen

Wikiwerkzeuge

Wikiwerkzeuge

Anonym

Suche

Benutzer:PerseusPhobos/Dropper

Verbreitung

Technik

Denkbare Programmiersprachen und Erweiterungen

Beispiel

Einzelnachweise

Navigation

Wikiwerkzeuge

Seitenwerkzeuge

Weitere Projekte