Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 12/8/2003
Ny orm, W32/Blaster, der udnytter DCOM RPC sårbarhed i Windows forårsager kraftigt forøget aktivitet på internettet rettet mod især TCP-port 135.Ormen spreder sig ved, at den scanner for sårbare systemer, og hvis et sådant er fundet anvendes et exploit for at bryde ind i systemet og efterfølgende køre autoriserede programmer
Ormen kompromitterer det sårbare system ved at overføre og køre en fil, msblast.exe, på den angrebne maskine. Der oprettes også en bagdør på TCP-port 4444 og en tftp-server på UDP-port 69. Herudover er den i stand til at initiere et DoS (Denial of Service) angreb mod windowsupdate.com.
Foruden at køre msblast.exe og dermed angribe både lokale subnet og eksterne internetadresser, forårsager ormen en betydelig belastning af netværkskapacitet og kan tilmed også være årsag til sårbare systemers nedbrud.
Der er udviklet et værktøj til at fjerne ormen med, men det er også muligt at fjerne den manuelt. Herudover anbefales det også at filtrere for TCP-port 4444 og UDP-port 69, samt for TCP-portene 135, 139 og 445, udgående og indgående i firewallen ud mod internettet, for at forhindre en kompromittering af egne systemer og dermed også en yderligere spredning af ormen til eksterne netværk.