CountLoader هو أداة تحميل برمجية خبيثة: مكوّن من المرحلة الأولى تتمثل مهمته في تسليم أو فك حزم أو تنفيذ الحمولات الخبيثة اللاحقة. قد يبدو برنامج التحميل بحد ذاته صغيرًا أو قصير العمر، لكنه مهم لأنه يهيئ المسار للهجوم الحقيقي، مثل سارق بيانات الاعتماد، أو برمجيات الفدية، أو برمجيات اختطاف الحافظة.
عمليًا، غالبًا ما تستخدم أدوات التحميل JavaScript مُموَّهًا، أو PowerShell، أو غيرها من مشغلات البرمجيات النصية لتبدو كأنها نشاط نظامي طبيعي أثناء فك ترميز المرحلة التالية، أو الاتصال بخادم أوامر وتحكم، أو تشغيل حمولة في الذاكرة. وهذا يجعل الاكتشاف أصعب لأن الشيفرة الخطرة قد لا تظهر أبدًا كملف مستقل. يبحث المدافعون عن PowerShell مُرمّز، وسلاسل تنفيذ برمجية غير معتادة، وعمليات فرعية مشبوهة، وسلوك غير متوقع للحافظة أو الشبكة. يمكن أن يؤدي إيقاف أداة التحميل إلى منع تشغيل بقية سلسلة البرمجيات الخبيثة بالكامل.