Blasterワームとは
ブラスターワームは、2003年にインターネット上で最初に広まったマルウェアコンピュータープログラムでした。2003年8月上旬に出現してから数日以内に、ワームは数十万台のWindowsベースのコンピューターに感染しました。 ブラスターワームは、その年の7月に実際に修正されたセキュリティホールを悪用したため、ゼロデイ攻撃ではありませんでした。 既にパッチがインストールされているコンピューターは脆弱ではなく、正常にダウンロードできるコンピューターはさらなる悪用から保護されました。 ブラスターワームが実行した機能の1つは、セキュリティパッチの提供を担当するサーバーに対する一連の分散型サービス拒否(DDoS)攻撃で、感染したコンピューターを使用することでした。
2003年7月、Microsoft®は、分散コンポーネントオブジェクトモデル(DCOM)リモートプロシージャコール(RPC)プロトコルに関連するセキュリティパッチをリリースしました。 ハッカーグループは、パッチをリバースエンジニアリングして、修正対象の脆弱性を発見し、悪用することができました。 彼らはMSblast.exeというファイルを使用してワームを設計しました。MSblast.exeはブラスターの名前の由来です。
ブラスターワームは、インターネット経由で直接増殖するように設計されており、ユーザーがファイルをダウンロードしたり、添付ファイルを開いたりする必要はありませんでした。 コンピューターが感染すると、ワームはポート135で多数のインターネットプロトコル(IP)アドレスにアクセスします。この方法で脆弱なWindowsXP®マシンにアクセスすると、ワームは自分自身を複製してプロセスを繰り返すことができます。
ブラスターワーム感染の1つの結果は、時限DDoS攻撃への参加でした。 感染した各コンピューターは、パッチの配布を担当するサーバーに大量のトラフィックを送信するように設定されていました。 これらの攻撃は、感染したコンピューターのローカルクロックに依存していたため、サーバーに向けられた過剰なトラフィックの連続波が発生しました。 この戦略により、これらの更新システムの動作方法に最終的な変更が加えられ、将来の攻撃に直面しても重要なパッチが利用可能になります。
感染の性質が発見されると、多くのインターネットサービスプロバイダー(ISP)がポート135でトラフィックをブロックし始めました。これにより、これらのISPを介したワームの伝播が事実上停止しました。 クリーンアップ操作が開始されると、いくつかの亜種が現れ始めました。 これらの亜種のうち、同じエクスプロイトを使用して、問題の強制パッチを試みました。 これは、独自の多くの問題を引き起こしたという事実にもかかわらず、有用なワームと呼ばれています。