Wat is de blasterworm?
De Blaster Worm was een malware-computerprogramma dat in 2003 voor het eerst verspreidde via internet. Binnen enkele dagen na zijn verschijning begin augustus 2003 had de worm enkele honderdduizend duizenden Windows-computers geïnfecteerd. De blasterworm was geen nul -dagaanval, omdat het een beveiligingsgat uitbuitte dat in juli van dat jaar daadwerkelijk was gepatcht. Computers die al de patch hadden, waren niet kwetsbaar, en degenen die het met succes konden downloaden, werden vervolgens beschermd tegen verdere uitbuiting. One of the functions that the blaster worm carried out was to use infected computers in a series of distributed denial of service (DDoS) attacks on the servers responsible for providing the security patches.
In July of 2003, Microsoft® released a security patch relating to the distributed component object model (DCOM) remote procedure call (RPC) protocol. Hackergroepen konden de patch reverse engineer de patch om te ontdekken en vervolgens de kwetsbaarheid te benutten die het was bedoeld voor FIX. Ze ontwierpen een worm met behulp van een bestand genaamd MSBlast.exe, waar de naam Blaster vandaan komt.
De blasterworm is ontworpen om zich rechtstreeks via internet te verspreiden, en vereiste geen gebruiker om een bestand te downloaden of een bijlage te openen. Zodra een computer was geïnfecteerd, zou de worm contact opnemen met een groot aantal internetprotocol (IP) -adressen op poort 135. Als op deze manier een kwetsbare Windows XP® -machine op deze manier werd gecontacteerd, zou de worm zichzelf kunnen repliceren en vervolgens het proces herhalen.
Een gevolg van blasterworminfectie was deelname aan een getimede DDoS -aanval. Elke geïnfecteerde computer werd ingesteld om een grote hoeveelheid verkeer te sturen naar de servers die verantwoordelijk zijn voor het distribueren van patches. Deze aanvallen waren afhankelijk van de lokale klok van de geïnfecteerde computer, wat resulteerde in een continue golf van overtollig verkeer gericht op de servers. Deze strategie leidde tot eventuele wijzigingen in de manier waarop deze updaTE -systemen werken, zodat kritieke patches beschikbaar zouden blijven in het licht van toekomstige aanvallen.
Nadat de aard van de infectie was ontdekt, begonnen veel internetproviders (ISP's) het verkeer te blokkeren op poort 135. Dit stopte effectief de verspreiding van de worm over deze ISP's, hoewel een groot aantal machines al was geïnfecteerd. Toen het opruimoperaties begonnen, begonnen een aantal varianten te verschijnen. Van deze varianten gebruikte men dezelfde exploits om een gedwongen patch van het probleem te proberen. Dit is een nuttige worm genoemd, ondanks het feit dat het resulteerde in een aantal eigen problemen.