Hva er Blaster Worm?
Blasterormen var et skadelig dataprogram som først forplantet seg over Internett i 2003. I løpet av få dager etter utseendet i begynnelsen av august 2003 hadde ormen infisert flere hundre tusen Windows-baserte datamaskiner. Blasterormen var ikke et angrep på null dager, da den utnyttet et sikkerhetshull som faktisk hadde blitt lappet i juli samme år. Datamaskiner som allerede hadde oppdateringen, var ikke sårbare, og de som kunne laste ned den, ble da beskyttet mot videre utnyttelse. En av funksjonene som blasterormen utførte var å bruke infiserte datamaskiner i en serie angrep av DDoS-angrep på serverne som var ansvarlige for å gi sikkerhetsoppdateringene.
I juli 2003 ga Microsoft® ut en sikkerhetsoppdatering relatert til den distribuerte komponentobjektmodellen (DCOM) ekstern prosedyreanrop (RPC) -protokoll. Hacker-grupper klarte å reversere lappen for å oppdage og deretter utnytte sårbarheten den var ment å fikse. De designet en orm ved hjelp av en fil som heter MSblast.exe, og det er her navnet blaster kommer fra.
Blasterormen var designet for å forplante seg direkte via Internett, og krevde ikke at en bruker laste ned en fil eller åpne et vedlegg. Når en datamaskin ble infisert, ville ormen kontakte et stort antall IP-adresser på porten 135. Hvis en sårbar Windows XP®-maskin ble kontaktet på denne måten, kunne ormen kopiere seg selv og deretter gjenta prosessen.
En konsekvens av blasterorminfeksjon var deltakelse i et tidsbestemt DDoS-angrep. Hver infiserte datamaskin ble satt til å lede en stor mengde trafikk til serverne som var ansvarlige for å distribuere lapper. Disse angrepene var avhengig av den lokale klokken til den infiserte datamaskinen, noe som resulterte i en kontinuerlig bølge av overflødig trafikk rettet mot serverne. Denne strategien førte til endelige endringer i måten disse oppdateringssystemene fungerer på, slik at kritiske oppdateringer fortsatt vil være tilgjengelige i møte med fremtidige angrep.
Når infeksjonens art ble oppdaget, begynte mange Internett-leverandører (ISP-er) å blokkere trafikk på port 135. Dette stoppet effektivt utbredelsen av ormen over disse ISP-ene, selv om et stort antall maskiner allerede hadde blitt infisert. Da opprydningsoperasjonene begynte begynte en rekke varianter å vises. Av disse variantene brukte man de samme utnyttelsene for å forsøke å tvinge problemet. Dette har blitt omtalt som en hjelpsom orm, til tross for at det resulterte i en rekke egne problemer.