Hvad er Blaster ormen?
Blasterormen var et malware-computerprogram, der først udbredtes over Internettet i 2003. Inden for et par dage efter udseendet i begyndelsen af august 2003 havde ormen inficeret flere hundrede tusind Windows-baserede computere. Blasterormen var ikke et angreb på nul dage, da den udnyttede et sikkerhedshul, der faktisk var blevet lappet i juli samme år. Computere, der allerede havde plasteret, var ikke sårbare, og computere, der med succes kunne downloade det, blev derefter beskyttet mod yderligere udnyttelse. En af funktionerne, som blasterormen udførte, var at bruge inficerede computere i en række angreb på DDoS (Distribution Denial of Service) på serverne, der var ansvarlige for at levere sikkerhedsrettelser.
I juli 2003 frigav Microsoft® en sikkerhedspatch, der vedrører den distribuerede komponentobjektmodel (DCOM) -protokol (RPC) -protokol. Hacker-grupper var i stand til at vende patch'en til at opdage og derefter udnytte den sårbarhed, den var beregnet til at løse. De designet en orm ved hjælp af en fil, der hedder MSblast.exe, og det er her navnet blaster kommer fra.
Blasterormen var designet til at udbrede sig direkte via Internettet og krævede ikke, at en bruger downloadede en fil eller åbn et vedhæftet fil. Når en computer var inficeret, vil ormen kontakte et stort antal IP-adresser (Internet Protocol) på port 135. Hvis en sårbar Windows XP®-maskine blev kontaktet på denne måde, kunne ormen replikere sig selv og derefter gentage processen.
En konsekvens af blasterorminfektion var deltagelse i et tidsbestemt DDoS-angreb. Hver inficeret computer blev indstillet til at dirigere en stor mængde trafik til de servere, der var ansvarlige for at distribuere programrettelser. Disse angreb var afhængige af det lokale ur på den inficerede computer, hvilket resulterede i en kontinuerlig bølge af overskydende trafik rettet mod serverne. Denne strategi anmodede om eventuelle ændringer i måden, hvorpå disse opdateringssystemer fungerer, så kritiske programrettelser forbliver tilgængelige over for fremtidige angreb.
Når infektionens art blev opdaget, begyndte mange internetudbydere (ISP'er) at blokere trafikken i port 135. Dette stoppede effektivt udbredelsen af ormen på tværs af disse internetudbydere, skønt et stort antal maskiner allerede var blevet inficeret. Da oprydningsoperationer begyndte, begyndte et antal varianter at vises. Af disse varianter brugte man den samme udnyttelse til at forsøge en tvungen rettelse af problemet. Dette er blevet omtalt som en hjælpsom orm, på trods af at det resulterede i en række egne problemer.