Il blaster worm era un malware che si è propagato per la prima volta su Internet nel 2003. Nel giro di pochi giorni dalla sua comparsa all’inizio di agosto del 2003, il worm aveva infettato diverse centinaia di migliaia di computer basati su Windows. Il blaster worm non era un attacco zero day, poiché sfruttava una falla di sicurezza che era stata effettivamente riparata nel luglio di quell’anno. I computer che avevano già la patch non erano vulnerabili e quelli che potevano scaricarla con successo erano quindi protetti da ulteriori sfruttamenti. Una delle funzioni svolte dal worm blaster era quella di utilizzare i computer infetti in una serie di attacchi DDoS (Distributed Denial of Service) sui server responsabili della fornitura delle patch di sicurezza.
Nel luglio 2003, Microsoft® ha rilasciato una patch di sicurezza relativa al protocollo RPC (Remote Procedure Call) DCOM (Distributed Components Object Model). I gruppi di hacker sono stati in grado di decodificare la patch per scoprire e quindi sfruttare la vulnerabilità che avrebbe dovuto correggere. Hanno progettato un worm utilizzando un file chiamato MSblast.exe, da cui deriva il nome blaster.
Il blaster worm è stato progettato per propagarsi direttamente attraverso Internet e non richiedeva all’utente di scaricare un file o aprire un allegato. Una volta infettato un computer, il worm contatterebbe un gran numero di indirizzi IP (Internet Protocol) sulla porta 135. Se un computer Windows XP® vulnerabile veniva contattato in questo modo, il worm potrebbe replicarsi e quindi ripetere il processo.
Una conseguenza dell’infezione da blaster worm è stata la partecipazione a un attacco DDoS a tempo. Ogni computer infetto è stato impostato per indirizzare una grande quantità di traffico verso i server responsabili della distribuzione delle patch. Questi attacchi dipendevano dall’orologio locale del computer infetto, provocando un’ondata continua di traffico in eccesso diretto ai server. Questa strategia ha portato a eventuali modifiche al modo in cui funzionano questi sistemi di aggiornamento, in modo che le patch critiche rimanessero disponibili di fronte a futuri attacchi.
Una volta scoperta la natura dell’infezione, molti provider di servizi Internet (ISP) hanno iniziato a bloccare il traffico sulla porta 135. Ciò ha effettivamente bloccato la propagazione del worm attraverso questi ISP, sebbene un gran numero di macchine fosse già stato infettato. Quando sono iniziate le operazioni di pulizia, sono apparse numerose varianti. Di queste varianti, una utilizzava gli stessi exploit per tentare una correzione forzata del problema. Questo è stato definito un worm utile, nonostante il fatto che abbia causato numerosi problemi.