Co to jest robak Blaster?
Blaster Worm był programem komputerowym złośliwego oprogramowania, który po raz pierwszy rozprzestrzenił się przez Internet w 2003 r. W ciągu kilku dni od pojawienia się na początku sierpnia 2003 r. robak zaraził kilkaset tysięcy komputerów opartych na systemie Windows. Blaster Worm nie był atakiem zerowym dnia, ponieważ wykorzystał dziurę bezpieczeństwa, która faktycznie została załatana w lipcu tego roku. Komputery, które już miały łatkę, nie były wrażliwe, a te, które mogłyby jej z powodzeniem pobrać, były następnie chronione przed dalszym wykorzystaniem. Jedną z funkcji przeprowadzonych przez robaka Blastera było użycie zainfekowanych komputerów w serii rozproszonych ataków usług odmowy (DDOS) na serwery odpowiedzialne za dostarczanie łatek bezpieczeństwa.
W lipcu 2003 r. Microsoft® wydał łatkę bezpieczeństwa związaną z modelem rozproszonego komponentu (DCOM) Procedure Procedure (RPC). Grupy hakerów były w stanie odwrócić ewidencję poprawki, aby odkryć, a następnie wykorzystać podatność na podatność, która miała na celu FIX. Zaprojektowali robaka za pomocą pliku o nazwie msblast.exe, z którego pochodzi nazwa Blaster.
Blaster Worm został zaprojektowany do propagacji bezpośrednio przez Internet i nie wymagał od użytkownika pobrania pliku lub otwarcia załącznika. Po zakażeniu komputera robak skontaktowałby się z dużą liczbą adresów protokołów internetowych (IP) na porcie 135. Jeśli w ten sposób skontaktowano się wrażliwy komputer Windows XP®, robak mógłby się powtórzyć, a następnie powtórzyć proces.
Jedną konsekwencją zakażenia blasterowego robaka było udział w ataku DDOS. Każdy zainfekowany komputer został ustawiony tak, aby skierował duży ruch na serwerach odpowiedzialnych za dystrybucję łat. Ataki te zależały od lokalnego zegara zainfekowanego komputera, co spowodowało ciągłą falę nadmiaru ruchu skierowanego na serwery. Ta strategia wywołała ostateczne zmiany w sposobie, w jaki updASystemy TE działają, aby krytyczne łatki pozostały dostępne w obliczu przyszłych ataków.
Po odkryciu charakteru infekcji wielu dostawców usług internetowych (dostawców usług internetowych) zaczęło blokować ruch na porcie 135. To skutecznie zatrzymało propagację robaka na tych dostawcach usług internetowych, chociaż duża liczba maszyn została już zarażona. Gdy zaczęły się operacje oczyszczające, zaczęło pojawiać się wiele wariantów. Spośród tych wariantów użyto tych samych exploitów, aby spróbować wymuszonego plamy problemu. Zostało to określane jako pomocny robak, pomimo faktu, że zaowocowało to wieloma własnymi problemami.