O que é o worm Blaster?

O blaster worm era um programa de malware que se propagou pela Internet em 2003. Poucos dias depois de sua aparição no início de agosto de 2003, o worm havia infectado várias centenas de milhares de computadores com Windows. O worm blaster não foi um ataque de dia zero, pois explorou uma falha de segurança que realmente havia sido corrigida em julho daquele ano. Os computadores que já tinham o patch não estavam vulneráveis ​​e os que podiam fazer o download com sucesso eram protegidos contra novas explorações. Uma das funções que o worm blaster executou foi usar computadores infectados em uma série de ataques DDoS (distribuídos de negação de serviço) nos servidores responsáveis ​​por fornecer os patches de segurança.

Em julho de 2003, a Microsoft® lançou um patch de segurança relacionado ao protocolo RPC (Modelo de Objeto Distribuído de Objetos Distribuídos). Os grupos de hackers conseguiram fazer engenharia reversa do patch para descobrir e depois explorar a vulnerabilidade que ele deveria corrigir. Eles criaram um worm usando um arquivo chamado MSblast.exe, de onde vem o nome blaster.

O worm blaster foi projetado para propagar diretamente pela Internet e não exigia que o usuário baixasse um arquivo ou abra um anexo. Quando um computador era infectado, o worm entrava em contato com um grande número de endereços de protocolo Internet (IP) na porta 135. Se uma máquina Windows XP® vulnerável fosse contatada dessa maneira, o worm poderia se replicar e repetir o processo.

Uma conseqüência da infecção por worm blaster foi a participação em um ataque DDoS cronometrado. Cada computador infectado foi configurado para direcionar uma grande quantidade de tráfego nos servidores responsáveis ​​pela distribuição de patches. Esses ataques dependiam do relógio local do computador infectado, resultando em uma onda contínua de excesso de tráfego direcionado aos servidores. Essa estratégia levou a possíveis alterações na forma como esses sistemas de atualização funcionam, para que patches críticos permanecessem disponíveis diante de futuros ataques.

Depois que a natureza da infecção foi descoberta, muitos provedores de serviços da Internet começaram a bloquear o tráfego na porta 135. Isso efetivamente interrompeu a propagação do worm nesses provedores, embora um grande número de máquinas já estivesse infectado. Quando as operações de limpeza começaram, várias variantes começaram a aparecer. Dessas variantes, uma utilizava as mesmas explorações para tentar corrigir um problema forçado. Isso foi referido como um worm útil, apesar de resultar em vários problemas.

OUTRAS LÍNGUAS

Este artigo foi útil? Obrigado pelo feedback Obrigado pelo feedback

Como podemos ajudar? Como podemos ajudar?

ARTIGOS RELACIONADOS