Vad är Blaster Worm?
Blastermasken var ett datorprogram för skadlig programvara som först spridits över Internet 2003. Inom några dagar efter utseendet i början av augusti 2003 hade ormen infekterat flera hundra tusen Windows-baserade datorer. Blasmasken var inte en attack på noll dagar, eftersom den utnyttjade ett säkerhetshål som faktiskt hade lappats i juli samma år. Datorer som redan hade plåstret var inte sårbara, och de som lyckades ladda ner den skyddades sedan från ytterligare exploatering. En av funktionerna som blasmasken utförde var att använda infekterade datorer i en serie DDoS-attacker mot distribuerad tjänst (Nial Service) på servrarna som ansvarar för att tillhandahålla säkerhetsfixerna.
I juli 2003 släppte Microsoft® en säkerhetsuppdatering avseende RPC-protokollet för distribuerad komponentobjektmodell (DCOM). Hacker-grupper kunde omvända korrigeringsfilen för att upptäcka och sedan utnyttja den sårbarhet den var tänkt att fixa. De utformade en mask med en fil som heter MSblast.exe, och det är här namnet blaster kommer från.
Blastermasken var utformad för att sprida sig direkt via Internet och krävde inte att en användare laddade ner en fil eller öppnade en bilaga. När en dator var infekterad kontaktade masken ett stort antal IP-adresser (Internet Protocol) på port 135. Om en sårbar Windows XP®-maskin kontaktades på detta sätt, kunde ormen replikera sig själv och sedan upprepa processen.
En konsekvens av infektionen av blåsmaskar var deltagande i en tidsbestämd DDoS-attack. Varje infekterad dator ställdes in för att rikta en stor mängd trafik till servrarna som ansvarar för att distribuera patchar. Dessa attacker berodde på den lokala klockan på den infekterade datorn, vilket resulterade i en kontinuerlig våg av överskottstrafik riktad mot servrarna. Denna strategi föranledde eventuella ändringar i hur dessa uppdateringssystem fungerar, så att kritiska korrigeringar skulle förbli tillgängliga inför framtida attacker.
När smittens natur upptäcktes började många Internet-leverantörer (ISP: er) blockera trafiken på port 135. Detta stoppade effektivt utbredningen av masken över dessa internetleverantörer, även om ett stort antal maskiner redan hade infekterats. När saneringen började började ett antal varianter dyka upp. Av dessa varianter använde man samma utnyttjelser för att försöka tvinga problemet. Detta har kallats en hjälpsam mask, trots att det resulterade i ett antal egna problem.