Qual è il worm blaster?
The Blaster Worm era un programma per computer malware che si propagò per la prima volta su Internet nel 2003. Entro pochi giorni dalla sua apparizione all'inizio di agosto del 2003, il verme aveva infettato diverse centinaia di migliaia di computer a base di Windows. Il worm blaster non era un attacco zero day, in quanto sfruttava un buco di sicurezza che era stato effettivamente patchato nel luglio di quell'anno. I computer che già avevano la patch non erano vulnerabili e quelli che potevano scaricarla con successo erano quindi protetti da un ulteriore sfruttamento. Una delle funzioni che il worm blaster ha svolto è stata quella di utilizzare i computer infetti in una serie di attacchi di negazione distribuita del servizio (DDOS) ai server responsabili della fornitura delle patch di sicurezza.
Nel luglio del 2003, Microsoft® ha rilasciato una patch di sicurezza relativa al modello di oggetto remoto (RPC). I gruppi di hacker sono stati in grado di deglutire la patch per scoprire e quindi sfruttare la vulnerabilità che era destinato a FIX. Hanno progettato un worm utilizzando un file chiamato msblast.exe, da cui proviene il nome blaster.
Il worm blaster è stato progettato per propagare direttamente tramite Internet e non ha richiesto a un utente di scaricare un file o aprire un allegato. Una volta infettato un computer, il worm avrebbe contattato un gran numero di indirizzi IP (Internet Protocol) sulla porta 135. Se una macchina Windows XP® vulnerabile veniva contattata in questo modo, il worm poteva replicarsi e quindi ripetere il processo.
Una conseguenza dell'infezione da vermi di Blaster era la partecipazione a un attacco DDoS a tempo. Ogni computer infetto è stato impostato per dirigere una grande quantità di traffico sui server responsabili della distribuzione di patch. Questi attacchi dipendevano dall'orologio locale del computer infetto, risultando in un'ondata continua di traffico in eccesso diretto ai server. Questa strategia ha provocato eventuali modifiche al modo in cui questi updaI sistemi TE funzionano, in modo che le patch critiche rimangano disponibili di fronte a attacchi futuri.
Una volta scoperta la natura dell'infezione, molti fornitori di servizi Internet (ISP) hanno iniziato a bloccare il traffico sulla porta 135. Ciò ha effettivamente fermato la propagazione del worm attraverso questi ISP, sebbene un gran numero di macchine fosse già stata infettata. All'inizio delle operazioni di pulizia, iniziarono ad apparire diverse varianti. Di queste varianti, uno ha usato gli stessi exploit per tentare una patch forzata del problema. Questo è stato definito un worm utile, nonostante il fatto che abbia comportato una serie di problemi.