Le Blaster Worm était un programme informatique malveillant qui s'est propagé pour la première fois sur Internet en 2003. Dans quelques jours suivant son apparition début août 2003, le ver avait infecté plusieurs centaines de milliers d'ordinateurs Windows.Le ver de Blaster n'était pas une attaque de jour zéro, car elle a exploité un trou de sécurité qui avait été corrigé en juillet de la même année.Les ordinateurs qui avaient déjà le patch n'étaient pas vulnérables, et ceux qui pouvaient le télécharger avec succès étaient ensuite protégés contre l'exploitation supplémentaire.L'une des fonctions effectuées par le ver de Blaster a été d'utiliser des ordinateurs infectés dans une série d'attaques de déni de service distribuées (DDOS) contre les serveurs responsables de la fourniture des correctifs de sécurité.

En juillet 2003, Microsoft publié un patch de sécurité relatif au protocole de procédure à distance (RPC) du modèle d'objet de composant distribué (DCOM).Les groupes de pirates ont pu inverser le patch pour découvrir, puis exploiter la vulnérabilité qu'il était censé corriger.Ils ont conçu un ver à l'aide d'un fichier appelé msblast.exe, d'où vient le nom de blaster.

Le ver de blaster a été conçu pour se propager directement via Internet et n'a pas obligé à un utilisateur à télécharger un fichier ou à ouvrir une pièce jointe.Une fois qu'un ordinateur a été infecté, le ver contacterait un grand nombre d'adresses de protocole Internet (IP) sur le port 135. Si un Windows XP Reg vulnérable;La machine a été contactée de cette manière, le ver pouvait se reproduire, puis répéter le processus.

Une conséquence de l'infection par vers de blaster a été la participation à une attaque DDOS chronométrée.Chaque ordinateur infecté a été défini pour diriger une grande quantité de trafic dans les serveurs responsables de la distribution des correctifs.Ces attaques dépendaient de l'horloge locale de l'ordinateur infecté, résultant en une vague continue d'excès de trafic dirigé par les serveurs.Cette stratégie a provoqué des modifications éventuelles au fonctionnement de ces systèmes de mise à jour, de sorte que les correctifs critiques resteraient disponibles face aux futures attaques.

Une fois la nature de l'infection découverte, de nombreux fournisseurs de services Internet (FAI) ont commencé à bloquer le trafic surPort 135. Cela a effectivement arrêté la propagation du ver à travers ces FAI, bien qu'un grand nombre de machines aient déjà été infectées.Au début des opérations de nettoyage, un certain nombre de variantes ont commencé à apparaître.De ces variantes, l'une a utilisé les mêmes exploits pour tenter un patch forcé du problème.Cela a été appelé un ver utile, malgré le fait que cela a entraîné un certain nombre de problèmes.