Cos'è il Blaster Worm?
Il worm blaster era un programma per malware che si propagò per la prima volta su Internet nel 2003. Entro pochi giorni dalla sua comparsa all'inizio di agosto del 2003, il worm aveva infettato diverse centinaia di migliaia di computer basati su Windows. Il worm blaster non fu un attacco zero day, poiché sfruttava una falla di sicurezza che era stata effettivamente riparata nel luglio di quell'anno. I computer che avevano già la patch non erano vulnerabili e quelli che potevano scaricarla con successo venivano quindi protetti da ulteriori sfruttamenti. Una delle funzioni svolte dal worm blaster era l'uso di computer infetti in una serie di attacchi DDoS (Distributed Denial of Service) ai server responsabili della fornitura delle patch di sicurezza.
Nel luglio del 2003, Microsoft® ha rilasciato una patch di sicurezza relativa al protocollo RPC (Remote Component Model Model) oggetto distribuito (DCOM). I gruppi di hacker sono stati in grado di decodificare la patch per scoprire e quindi sfruttare la vulnerabilità che doveva risolvere. Hanno progettato un worm usando un file chiamato MSblast.exe, da cui deriva il nome blaster.
Il worm blaster è stato progettato per propagarsi direttamente tramite Internet e non richiede all'utente di scaricare un file o aprire un allegato. Una volta che un computer era stato infettato, il worm avrebbe contattato un gran numero di indirizzi IP (Internet Protocol) sulla porta 135. Se una macchina Windows XP® vulnerabile fosse stata contattata in questo modo, il worm avrebbe potuto replicarsi e quindi ripetere il processo.
Una conseguenza dell'infezione da worm blaster è stata la partecipazione a un attacco DDoS a tempo. Ogni computer infetto è stato impostato per indirizzare una grande quantità di traffico verso i server responsabili della distribuzione delle patch. Questi attacchi dipendevano dall'orologio locale del computer infetto, causando un'ondata continua di traffico in eccesso diretta verso i server. Questa strategia ha provocato eventuali modifiche al modo in cui funzionano questi sistemi di aggiornamento, in modo che le patch critiche rimangano disponibili di fronte a futuri attacchi.
Una volta scoperta la natura dell'infezione, molti provider di servizi Internet (ISP) hanno iniziato a bloccare il traffico sulla porta 135. Ciò ha effettivamente fermato la propagazione del worm attraverso questi ISP, sebbene un gran numero di macchine fosse già stato infettato. All'inizio delle operazioni di pulizia, sono apparse diverse varianti. Di queste varianti, uno ha usato gli stessi exploit per tentare una patch forzata del problema. Questo è stato indicato come un worm utile, nonostante abbia provocato una serie di problemi propri.