Le ver Blaster est un programme informatique malveillant que d'abord propagé sur Internet en 2003. En quelques jours de son apparition au début du mois Août 2003, le ver avait infecté plusieurs centaines de milliers ordinateurs basés sur Windows. Le ver Blaster n'était pas une attaque zéro jour, comme il a exploité une faille de sécurité qui avait effectivement été patché en Juillet de cette année. Les ordinateurs qui avaient déjà le patch ne sont pas vulnérables, et celles qui pourraient le télécharger avec succès ont été protégées contre l'exploitation ultérieure. L'une des fonctions que le ver Blaster menées était d'utiliser les ordinateurs infectés dans une série de déni de service distribué (DDoS) sur les serveurs chargés de fournir les correctifs de sécurité.
En Juillet 2003, Microsoft a publié un correctif de sécurité relative au modèle d'objet composant distribué (DCOM) appel de procédure distante (RPC) du protocole. Des groupes de hackers ont réussi à désosser le patch de découvrir et d'exploiter la vulnérabilité qu'il était censé corriger. Ils ont conçu un ver en utilisant un fichier appelé msblast.exe, qui est où le nom vient de blaster.
Le ver Blaster a été conçu pour se propager directement par Internet, et ne pas obliger l'utilisateur à télécharger un fichier ou ouvrir une pièce jointe. Une fois qu'un ordinateur a été infecté, le ver communiquera avec un grand nombre de protocole Internet (IP) sur le port 135. Si une vulnérabilité Windows XP machine a été contacté de cette manière, le ver peut se répliquer et puis répétez le processus.
L'une des conséquences de l'infection par ver Blaster a été la participation à une attaque DDoS chronométrée. Chaque ordinateur infecté a été créé pour diriger une grande quantité de trafic sur les serveurs chargés de la distribution de correctifs. Ces attaques dépendaient de l'horloge locale de l'ordinateur infecté, ce qui entraîne une onde continue l'excès de trafic dirigé vers les serveurs. Cette stratégie invite les changements éventuels à la manière dont ces travaux mise à jour des systèmes, de sorte que les correctifs critiques resteraient disponibles dans le visage de futures attaques.
Une fois la nature de l'infection a été découverte, de nombreux fournisseurs de services Internet (FSI) a commencé à bloquer le trafic sur le port 135. Cela a effectivement arrêté la propagation du ver à travers ces FSI, si un grand nombre de machines avaient déjà été infectés. Comme les opérations de nettoyage ont commencé, un certain nombre de variantes ont commencé à apparaître. Parmi ces variantes, on a utilisé les mêmes exploits de tenter un patch forcée du problème. Cela a été considéré comme un ver utile, malgré le fait qu'elle conduit à un certain nombre de problèmes qui lui sont propres.