Co to jest robak Blaster?
Robak blaster był złośliwym programem komputerowym, który po raz pierwszy rozprzestrzenił się w Internecie w 2003 r. W ciągu kilku dni od pojawienia się na początku sierpnia 2003 r. Robak zainfekował kilkaset tysięcy komputerów z systemem Windows. Robak blasterowy nie był atakiem zero-dniowym, ponieważ wykorzystał lukę bezpieczeństwa, która została załatana w lipcu tego roku. Komputery, które miały już łatkę, nie były podatne na ataki, a komputery, które mogły ją pomyślnie pobrać, były następnie chronione przed dalszym wykorzystaniem. Jedną z funkcji wykonywanych przez robaka blasterowego było wykorzystywanie zainfekowanych komputerów w serii rozproszonych ataków typu „odmowa usługi” (DDoS) na serwery odpowiedzialne za dostarczanie poprawek bezpieczeństwa.
W lipcu 2003 r. Firma Microsoft® wydała poprawkę zabezpieczeń dotyczącą protokołu zdalnego wywoływania procedury rozproszonego modelu obiektowego (DCOM) (RPOM). Grupy hakerów były w stanie dokonać inżynierii wstecznej poprawki w celu wykrycia, a następnie wykorzystać lukę, którą miała naprawić. Zaprojektowali robaka przy użyciu pliku o nazwie MSblast.exe, skąd pochodzi nazwa blaster.
Robak blaster został zaprojektowany do rozprzestrzeniania się bezpośrednio przez Internet i nie wymagał od użytkownika pobierania pliku ani otwierania załącznika. Po zainfekowaniu komputera robak kontaktuje się z dużą liczbą adresów IP na porcie 135. W przypadku skontaktowania się w ten sposób z wrażliwym komputerem z systemem Windows XP®, robak może się zreplikować, a następnie powtórzyć proces.
Jedną z konsekwencji infekcji robakiem blasterowym był udział w ataku DDoS w określonym czasie. Każdy zainfekowany komputer był ustawiony tak, aby kierował dużą ilością ruchu na serwery odpowiedzialne za dystrybucję łatek. Ataki te zależały od lokalnego zegara zainfekowanego komputera, powodując ciągłą falę nadmiernego ruchu kierowanego na serwery. Ta strategia spowodowała ewentualne zmiany w sposobie działania tych systemów aktualizacji, aby krytyczne łatki pozostały dostępne w obliczu przyszłych ataków.
Po odkryciu charakteru infekcji wielu dostawców usług internetowych (ISP) zaczęło blokować ruch na porcie 135. To skutecznie powstrzymało rozprzestrzenianie się robaka wśród tych ISP, chociaż duża liczba komputerów została już zainfekowana. Gdy rozpoczęły się operacje czyszczenia, zaczęło pojawiać się wiele wariantów. Spośród tych wariantów wykorzystano te same exploity do próby wymuszonej łatki problemu. Zostało to nazwane pomocnym robakiem, mimo że spowodowało wiele własnych problemów.