O blaster worm era um programa de malware que se propagou pela Internet em 2003. Poucos dias depois de sua aparição no início de agosto de 2003, o worm havia infectado várias centenas de milhares de computadores com Windows. O worm blaster não foi um ataque de dia zero, pois explorou uma falha de segurança que realmente havia sido corrigida em julho daquele ano. Os computadores que já tinham o patch não estavam vulneráveis ​​e os que podiam fazer o download com sucesso eram protegidos contra novas explorações. Uma das funções que o worm blaster executou foi usar computadores infectados em uma série de ataques DDoS (distribuídos de negação de serviço) nos servidores responsáveis ​​por fornecer os patches de segurança.

Em julho de 2003, a Microsoft® lançou um patch de segurança relacionado ao protocolo RPC (Modelo de Objeto Distribuído de Objetos Distribuídos). Os grupos de hackers conseguiram fazer engenharia reversa do patch para descobrir e depois explorar a vulnerabilidade que ele deveria corrigir. Eles criaram um worm usando um arquivo chamado MSblast.exe, de onde vem o nome blaster.

O worm blaster foi projetado para propagar diretamente pela Internet e não exigia que o usuário baixasse um arquivo ou abra um anexo. Quando um computador era infectado, o worm entrava em contato com um grande número de endereços de protocolo Internet (IP) na porta 135. Se uma máquina Windows XP® vulnerável fosse contatada dessa maneira, o worm poderia se replicar e repetir o processo.

Uma conseqüência da infecção por worm blaster foi a participação em um ataque DDoS cronometrado. Cada computador infectado foi configurado para direcionar uma grande quantidade de tráfego nos servidores responsáveis ​​pela distribuição de patches. Esses ataques dependiam do relógio local do computador infectado, resultando em uma onda contínua de excesso de tráfego direcionado aos servidores. Essa estratégia levou a possíveis alterações na forma como esses sistemas de atualização funcionam, para que patches críticos permanecessem disponíveis diante de futuros ataques.

Depois que a natureza da infecção foi descoberta, muitos provedores de serviços da Internet começaram a bloquear o tráfego na porta 135. Isso efetivamente interrompeu a propagação do worm nesses provedores, embora um grande número de máquinas já estivesse infectado. Quando as operações de limpeza começaram, várias variantes começaram a aparecer. Dessas variantes, uma utilizava as mesmas explorações para tentar corrigir um problema forçado. Isso foi referido como um worm útil, apesar de resultar em vários problemas.