Wat is de blasterworm?

De blasterworm was een malware-computerprogramma dat zich voor het eerst verspreidde over het internet in 2003. Binnen enkele dagen na zijn verschijning begin augustus 2003 had de worm enkele honderdduizenden Windows-computers besmet. De blasterworm was geen zero-day-aanval, omdat hij een beveiligingslek exploiteerde die in juli van dat jaar was hersteld. Computers die de patch al hadden, waren niet kwetsbaar en degenen die het met succes konden downloaden, werden vervolgens beschermd tegen verdere exploitatie. Een van de functies die de blasterworm uitvoerde, was geïnfecteerde computers gebruiken in een reeks DDoS-aanvallen (Distributed Denial of Service) op de servers die verantwoordelijk zijn voor het leveren van de beveiligingspatches.

In juli 2003 heeft Microsoft® een beveiligingspatch uitgebracht met betrekking tot het RPC-protocol (DCPC) (Remote Procedure Call) -protocol. Hackergroepen konden de patch reverse-engineeren om de kwetsbaarheid te ontdekken en vervolgens te misbruiken die het moest verhelpen. Ze ontwierpen een worm met een bestand met de naam MSblast.exe, waar de naam blaster vandaan komt.

De blasterworm is ontworpen om rechtstreeks via internet te verspreiden en vereist niet dat een gebruiker een bestand downloadt of een bijlage opent. Nadat een computer was geïnfecteerd, zou de worm contact maken met een groot aantal internetprotocoladressen (IP) op poort 135. Als op deze manier contact werd gemaakt met een kwetsbare Windows XP®-machine, kon de worm zichzelf repliceren en vervolgens het proces herhalen.

Een gevolg van blasterworminfectie was deelname aan een getimede DDoS-aanval. Elke geïnfecteerde computer was ingesteld om een ​​grote hoeveelheid verkeer naar de servers te leiden die verantwoordelijk waren voor de distributie van patches. Deze aanvallen hingen af ​​van de lokale klok van de geïnfecteerde computer, resulterend in een continue golf van overtollig verkeer gericht op de servers. Deze strategie heeft geleid tot eventuele wijzigingen in de manier waarop deze updatesystemen werken, zodat kritieke patches beschikbaar blijven voor toekomstige aanvallen.

Toen de aard van de infectie eenmaal was ontdekt, begonnen veel internetproviders verkeer op poort 135 te blokkeren. Dit stopte effectief de verspreiding van de worm over deze ISP's, hoewel een groot aantal machines al was geïnfecteerd. Toen het opruimen begon, verscheen een aantal varianten. Van deze varianten gebruikte men dezelfde exploits om een ​​geforceerde patch van het probleem te proberen. Dit wordt een nuttige worm genoemd, ondanks het feit dat het tot een aantal eigen problemen leidde.

ANDERE TALEN

heeft dit artikel jou geholpen? bedankt voor de feedback bedankt voor de feedback

Hoe kunnen we helpen? Hoe kunnen we helpen?

GERELATEERDE ARTIKELEN