Siden opdagelsen af det såkaldte RPC-sikkerhedshul i Windows i midten af juli har sikkerhedseksperter ventet på den første orm, som udnytter sårbarheden til at sprede sig på nettet. De første kodeeksempler dukkede op i sidste uge, og nu er den første alvorlige orm sendt i omløb på nettet. Den betegnes som MSblast, Blaster, Lovesan eller Billy.
Ormen er blevet sendt i spredning ved at e-maile koden til et stort antal e-mail adresser, fortæller Kruse Security.
Flere sikkerhedsfirmaer fortæller samstemmende at ormen lige nu spreder sig med eksplosionsagtig hastighed på nettet. ComON kan bekræfte at en ubeskyttet Windows-computer bag en ADSL-forbindelse i gennemsnit bliver inficeret på under et minut.
Ormen bruger tilfældigt udvalgte IP-adresser til at søge efter sårbare Windows-systemer, hvor ormen kan trænge ind gennem TCP-port 135. Hvis ormen finder et system, hvor fejlrettelsen ikke er installeret, åbner den en remote-shell på port 4444 og overfører ormekoden msblast.exe over TFTP til mappen Windows/System32 på computeren.
Den foretager en ændring i registreringsdatabasen, som betyder at ormen aktiveres efter hver genstart. Ormen er programmeret til at starte et distribueret denial of service angreb mod sitet WindowsUpdate.com den 15. august.
Det anbefales på det kraftigste at installere Microsofts sikkerhedsopdatering, hvis man ikke allerede har gjort det, og blokere trafikken til port 135.