Viermele blaster a fost un program malware care sa propagat pentru prima dată pe Internet în 2003. În câteva zile de la apariția sa la începutul lunii august 2003, viermele infectase câteva sute de mii de computere bazate pe Windows. Viermele blaster nu a fost un atac zero day, deoarece a exploatat o gaură de securitate care fusese de fapt reparată în iulie a acelui an. Calculatoarele care aveau deja patch-ul nu erau vulnerabile, iar cele care îl puteau descărca cu succes au fost apoi protejate de exploatarea ulterioară. Una dintre funcțiile pe care le-a îndeplinit viermele blaster a fost aceea de a folosi computere infectate într-o serie de atacuri distribuite de denial of service (DDoS) asupra serverelor responsabile cu furnizarea de corecții de securitate.
În iulie 2003, Microsoft® a lansat un patch de securitate legat de protocolul RPC (Distributed Component Object Model – DCOM). Grupurile de hackeri au putut face inginerie inversă a corecțiilor pentru a descoperi și apoi a exploata vulnerabilitatea pe care trebuia să o rezolve. Ei au proiectat un vierme folosind un fișier numit MSblast.exe, de unde provine numele blaster.
Viermele blaster a fost conceput pentru a se propaga direct prin Internet și nu a necesitat ca utilizatorul să descarce un fișier sau să deschidă un atașament. Odată ce un computer a fost infectat, viermele va contacta un număr mare de adrese de protocol Internet (IP) pe portul 135. Dacă o mașină vulnerabilă Windows XP® era contactată în acest mod, viermele s-ar putea replica și apoi repeta procesul.
O consecință a infecției cu vierme blaster a fost participarea la un atac DDoS cronometrat. Fiecare computer infectat a fost setat să direcționeze o cantitate mare de trafic către serverele responsabile cu distribuirea patch-urilor. Aceste atacuri depindeau de ceasul local al computerului infectat, rezultând un val continuu de exces de trafic îndreptat către servere. Această strategie a determinat eventuale modificări ale modului în care funcționează aceste sisteme de actualizare, astfel încât patch-urile critice să rămână disponibile în fața viitoarelor atacuri.
Odată ce natura infecției a fost descoperită, mulți furnizori de servicii de internet (ISP) au început să blocheze traficul pe portul 135. Acest lucru a oprit efectiv propagarea viermelui pe acești ISP-uri, deși un număr mare de mașini fuseseră deja infectate. Pe măsură ce au început operațiunile de curățare, au început să apară o serie de variante. Dintre aceste variante, una a folosit aceleași exploatații pentru a încerca o remediere forțată a problemei. Acesta a fost numit un vierme util, în ciuda faptului că a dus la o serie de probleme proprii.