Der Wurm sucht über zufällig ausgewählte IP-Adressen auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet. Findet er ein System ohne installierten Sicherheits-Patch, öffnet er eine Remote-Shell auf Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Verzeichnis System32. Auf einem infizierten System lauscht der Wurm fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage, um sich so weiter zu verbreiten.

Blaster sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch zum Absturz geführt werden.

Nach unserer Erfahrung sind hauptsächlich Rechner gefährdet, die direkt mit dem Internet verbunden sind. Sollten Sie sich über einen Linux-Router und/oder eine Firewall in's Internet wagen, sind die Risiken wesentlich geringer, sich Blaster einzufangen.

Symantec W32.Blaster.Worm Removal Tool 1.0.0

Critical Security Patch for Windows XP - Deutsch

Microsoft-Patches für Windows NT und 2000 (Microsoft-Seite).