トロイの木馬の一種で、それ自体には不正コードが含まれないが、あるタイミングで不正コードを「投下」(=ドロップ)する。投下の仕方は、プログラム内部に忍ばせている場合もあれば、インターネットからダウンロードする場合もある。「トロージャン・ドロッパー」とも呼ばれる。
多くの場合、ウイルス対策ソフトをはじめ、よく知られているユーティリティーソフトの偽物を被害者がインターネットからダウンロードしインストールすることで、ドロッパーは標的に侵入する。 こうした偽装プログラムには(表向きは)不正コードが含まれていないため、ウイルス対策ソフトのスキャンでは検知されない。とはいっても「ドロッパー」は、システム内部に侵入した後に、何らかのタイミングで不正プログラムを作動させる。大きく分けると以下の2つの方法が用いられている。
1 内部に格納
ドロッパー本体の内部に不正プログラムが格納されている場合がある。暗号化や難読化、パッキングなどが施されているため、簡単には不正プログラムとして認識されないようになっている。なお、ポリモーフィック型ウイルスの場合、自身をランダムな暗号化コードで書き換えて暗号化しているため、そのドロッパーは暗号化されていないかもしれないが、自身で復号化する。
2 ダウンロード
攻撃者があらかじめ用意したWebサイトにアクセスして、不正プログラムをダウンロードする場合がある。狭義には他のドロッパーと区別して「ダウンローダー」と呼ばれる。
いずれの場合にも、ドロッパーは攻撃の第一段階として標的の内部に侵入することを目的とし、実際の攻撃は第二段階によって引き起こされる。さらにこの第二段階の攻撃の後、異なるマルウェアをダウンロードして標的を攻撃することがある。
ドロッパーが不正コードを実行可能にする前にドロッパー自身を検知する方法としては、ヒューリスティックによるスキャンが有効である。
歴史的にさかのぼると「ドロッパー」という語は、実験環境の外部でコンピューターウイルスが動作するかどうかを確かめるためのファイルを指した。これをアンチウイルス研究者は「ゼロ世代」と呼んでいる。元はと言えば、医者や疫学者が感染症がまだ拡散していない際に「患者ゼロ」の地点について議論する際に用いられたことに由来する。