Троянец-дроппер

Троянец-дроппер (trojan dropper), или просто дроппер (Dropper) — вредоносное программное обеспечение, предназначенное для доставки на компьютер или смартфон жертвы другого вредоносного ПО.

Как видно из названия, чаще всего дроппер — это троянец, то есть программа, имитирующая или действительно включающая в себя какое-то полезное приложение. Типичный пример — генератор ключей для пиратской версии коммерческого ПО.

Как работает дроппер

В большинстве случаев сами дропперы не имеют зловредных функций. Основная задача дроппера — незаметно для жертвы установить на целевое устройство других зловредов, так называемую полезную нагрузку. В отличие от загрузчика, который скачивает необходимые компоненты с сервера злоумышленников, дроппер содержит их в себе. При запуске он извлекает полезную нагрузку и сохраняет на устройство. Также дроппер может запускать установочные файлы зловредов.

Что доставляет дроппер

В качестве полезной нагрузки обычно используются другие троянцы. Иногда дроппер содержит только одного зловреда, однако чаще всего он доставляет сразу несколько таких программ. Они могут быть никак не связаны между собой и выполнять разные задачи. Зачастую внутри одного дроппера оказываются троянцы, созданные разными хакерскими группировками. Также в нем могут содержаться безвредные файлы, которые дроппер загружает, чтобы замаскировать установку зловредов.

Как правило, дропперы используются для доставки известных троянцев в обход защитных функций целевого устройства. Они затрудняют обнаружение вредоносного ПО на стадии загрузки и нейтрализуют защиту перед установкой полезной нагрузки. Механизм нейтрализации зависит от типа целевой операционной системы. В частности, в Windows дропперы, как правило, деактивируют службу контроля учетных записей UAC, которая уведомляет пользователя о попытках программ внести изменения в систему.

Виды дропперов

Дропперы могут быть устойчивыми или неустойчивыми.

  • Устойчивые дропперы закрепляются на устройстве и могут устанавливать себя заново в случае удаления.
  • Неустойчивые дропперы удаляют себя с зараженного устройства сразу после установки полезной нагрузки.

Публикации на схожие темы