El gusano blaster era un programa informático de malware que se propagó por primera vez a través de Internet en 2003. A los pocos días de su aparición a principios de agosto de 2003, el gusano había infectado varios cientos de miles de computadoras con Windows. El gusano bláster no fue un ataque de día cero, ya que explotó un agujero de seguridad que en realidad había sido reparado en julio de ese año. Las computadoras que ya tenían el parche no eran vulnerables, y las que podían descargarlo con éxito estaban protegidas de una mayor explotación. Una de las funciones que realizaba el gusano blaster era utilizar los equipos infectados en una serie de ataques distribuidos de denegación de servicio (DDoS) a los servidores encargados de proporcionar los parches de seguridad.
En julio de 2003, Microsoft® lanzó un parche de seguridad relacionado con el protocolo de llamada a procedimiento remoto (RPC) del modelo de objetos de componentes distribuidos (DCOM). Los grupos de piratas informáticos pudieron aplicar ingeniería inversa al parche para descubrir y luego explotar la vulnerabilidad que se suponía que debía corregir. Diseñaron un gusano usando un archivo llamado MSblast.exe, que es de donde proviene el nombre blaster.
El gusano blaster se diseñó para propagarse directamente a través de Internet y no requería que el usuario descargara un archivo o abriera un archivo adjunto. Una vez que una computadora estaba infectada, el gusano contactaba con una gran cantidad de direcciones de protocolo de Internet (IP) en el puerto 135. Si se contactaba de esta manera con una máquina Windows XP® vulnerable, el gusano podría replicarse y luego repetir el proceso.
Una consecuencia de la infección por gusano bláster fue la participación en un ataque DDoS cronometrado. Cada computadora infectada estaba configurada para dirigir una gran cantidad de tráfico a los servidores responsables de distribuir los parches. Estos ataques dependían del reloj local de la computadora infectada, lo que resultaba en una ola continua de exceso de tráfico dirigido a los servidores. Esta estrategia generó cambios eventuales en la forma en que funcionan estos sistemas de actualización, de modo que los parches críticos permanezcan disponibles frente a futuros ataques.
Una vez que se descubrió la naturaleza de la infección, muchos proveedores de servicios de Internet (ISP) comenzaron a bloquear el tráfico en el puerto 135. Esto detuvo efectivamente la propagación del gusano a través de estos ISP, aunque ya se había infectado una gran cantidad de máquinas. Cuando comenzaron las operaciones de limpieza, comenzaron a aparecer una serie de variantes. De estas variantes, una usó los mismos exploits para intentar un parche forzado del problema. A esto se le ha llamado un gusano útil, a pesar de que dio lugar a una serie de problemas propios.