¿Qué es el gusano Blaster?
El gusano bláster fue un programa informático de malware que se propagó por primera vez a través de Internet en 2003. A los pocos días de su aparición a principios de agosto de 2003, el gusano había infectado varios cientos de miles de computadoras con Windows. El gusano bláster no fue un ataque de día cero, ya que explotó un agujero de seguridad que en realidad había sido reparado en julio de ese año. Las computadoras que ya tenían el parche no eran vulnerables y las que podían descargarlo con éxito estaban protegidas de una mayor explotación. Una de las funciones que llevó a cabo el gusano bláster fue usar computadoras infectadas en una serie de ataques de denegación de servicio distribuido (DDoS) en los servidores responsables de proporcionar los parches de seguridad.
En julio de 2003, Microsoft® lanzó un parche de seguridad relacionado con el protocolo de llamada a procedimiento remoto (RPC) del modelo de objetos de componentes distribuidos (DCOM). Los grupos de piratas informáticos pudieron realizar ingeniería inversa del parche para descubrir y luego explotar la vulnerabilidad que estaba destinada a corregir. Diseñaron un gusano usando un archivo llamado MSblast.exe, que es de donde proviene el nombre Blaster.
El gusano bláster fue diseñado para propagarse directamente a través de Internet y no requería que un usuario descargara un archivo o abriera un archivo adjunto. Una vez que una computadora se infectaba, el gusano contactaba con una gran cantidad de direcciones de protocolo de Internet (IP) en el puerto 135. Si se contactaba con una máquina vulnerable con Windows XP® de esta manera, el gusano podía replicarse y luego repetir el proceso.
Una consecuencia de la infección por gusanos bláster fue la participación en un ataque DDoS cronometrado. Cada computadora infectada estaba configurada para dirigir una gran cantidad de tráfico a los servidores responsables de distribuir parches. Estos ataques dependieron del reloj local de la computadora infectada, lo que resultó en una ola continua de exceso de tráfico dirigido a los servidores. Esta estrategia provocó cambios eventuales en la forma en que funcionan estos sistemas de actualización, de modo que los parches críticos permanecerían disponibles ante futuros ataques.
Una vez que se descubrió la naturaleza de la infección, muchos proveedores de servicios de Internet (ISP) comenzaron a bloquear el tráfico en el puerto 135. Esto detuvo efectivamente la propagación del gusano a través de estos ISP, aunque una gran cantidad de máquinas ya habían sido infectadas. A medida que comenzaron las operaciones de limpieza, comenzaron a aparecer una serie de variantes. De estas variantes, uno utilizó los mismos exploits para intentar un parche forzado del problema. Esto ha sido referido como un gusano útil, a pesar del hecho de que resultó en una serie de problemas propios.