Qu'est-ce que le ver Blaster?
Le ver Blaster était un programme informatique malveillant qui s'était propagé pour la première fois sur Internet en 2003. Quelques jours après son apparition au début du mois d'août 2003, le ver avait infecté plusieurs centaines de milliers d'ordinateurs Windows. Le ver blaster n’était pas une attaque du jour au lendemain, car il exploitait une faille de sécurité qui avait été corrigée en juillet de la même année. Les ordinateurs qui possédaient déjà le correctif n'étaient pas vulnérables et ceux qui pouvaient le télécharger avec succès étaient alors protégés de toute exploitation ultérieure. L'une des fonctions du ver blaster consistait à utiliser des ordinateurs infectés dans le cadre d'une série d'attaques par déni de service distribué (DDoS) sur les serveurs chargés de fournir les correctifs de sécurité.
En juillet 2003, Microsoft® a publié un correctif de sécurité relatif au protocole d'appel de procédure distante DCOM (Distributed Component Object Model). Les groupes de pirates informatiques ont été en mesure de procéder à une ingénierie inverse du correctif pour découvrir, puis d'exploiter la vulnérabilité qu'il était censé résoudre. Ils ont conçu un ver à l'aide d'un fichier appelé MSblast.exe, d'où le nom blaster.
Le ver blaster a été conçu pour se propager directement sur Internet et n'exige pas qu'un utilisateur télécharge un fichier ou ouvre une pièce jointe. Une fois qu'un ordinateur était infecté, le ver contactait un grand nombre d'adresses IP (Internet Protocol) sur le port 135. Si un ordinateur vulnérable sous Windows XP® était contacté de cette manière, le ver pourrait se reproduire, puis répéter le processus.
L'une des conséquences de l'infection par le ver blaster était la participation à une attaque par DDoS programmée. Chaque ordinateur infecté était configuré pour diriger une grande quantité de trafic vers les serveurs responsables de la distribution des correctifs. Ces attaques dépendaient de l'horloge locale de l'ordinateur infecté, entraînant une vague continue d'excès de trafic dirigé vers les serveurs. Cette stratégie a entraîné des modifications éventuelles du mode de fonctionnement de ces systèmes de mise à jour, afin que les correctifs critiques restent disponibles en cas d'attaques futures.
Une fois la nature de l’infection découverte, de nombreux fournisseurs de services Internet (FAI) ont commencé à bloquer le trafic sur le port 135. Cela a en effet stoppé la propagation du ver sur ces FAI, bien qu’un grand nombre de machines aient déjà été infectées. Lorsque les opérations de nettoyage ont commencé, un certain nombre de variantes ont commencé à apparaître. Parmi ces variantes, l'une utilisait les mêmes exploits pour tenter de résoudre un correctif forcé du problème. Cela a été qualifié de ver utile, en dépit du fait qu’il a engendré un certain nombre de problèmes.