Il worm blaster era un programma di computer malware che si propagò per la prima volta su Internet nel 2003. Entro pochi giorni dalla sua apparizione all'inizio di agosto del 2003, il verme aveva infettato diverse centinaia di migliaia di computer basati su Windows.Il worm blaster non era un attacco zero day, in quanto sfruttava un buco di sicurezza che era stato effettivamente patchato nel luglio di quell'anno.I computer che già avevano la patch non erano vulnerabili e quelli che potevano scaricarla con successo erano quindi protetti da un ulteriore sfruttamento.Una delle funzioni che il worm blaster ha svolto è stata quella di utilizzare i computer infetti in una serie di attacchi di negazione del servizio distribuiti sui server responsabili della fornitura delle patch di sicurezza.

Nel luglio del 2003, Microsoft Rilasciato una patch di sicurezza relativa al protocollo RPC (RPC) Modello Oggetto Componente Distributed Component Model (RPC).I gruppi di hacker sono stati in grado di deglutire la patch per scoprire e quindi sfruttare la vulnerabilità che doveva correggere.Hanno progettato un worm utilizzando un file chiamato msblast.exe, da cui proviene il nome blaster.

Il worm blaster è stato progettato per propagare direttamente tramite Internet e non ha richiesto a un utente di scaricare un file o aprire un allegato.Una volta infettato un computer, il worm avrebbe contattato un gran numero di indirizzi IP (Internet Protocol) sulla porta 135. Se un Windows XP Reg vulnerabile;La macchina è stata contattata in questo modo, il worm poteva replicarsi e quindi ripetere il processo.

Una conseguenza dell'infezione da worm blaster era la partecipazione a un attacco DDoS a tempo.Ogni computer infetto è stato impostato per dirigere una grande quantità di traffico sui server responsabili della distribuzione di patch.Questi attacchi dipendevano dall'orologio locale del computer infetto, risultando in un'ondata continua di traffico in eccesso diretto ai server.Questa strategia ha provocato eventuali modifiche al modo in cui funzionano questi sistemi di aggiornamento, in modo che le patch critiche rimangano disponibili di fronte agli attacchi futuri.

Una volta scoperta la natura dell'infezione, molti fornitori di servizi Internet (ISP) hanno iniziato a bloccare il trafficoPorta 135. Ciò ha effettivamente interrotto la propagazione del verme attraverso questi ISP, sebbene un gran numero di macchine fosse già stata infettata.All'inizio delle operazioni di pulizia, iniziarono ad apparire diverse varianti.Di queste varianti, uno ha usato gli stessi exploit per tentare una patch forzata del problema.Questo è stato definito un worm utile, nonostante il fatto che abbia comportato una serie di problemi.