Sikkerhedseksperterne holdt vejret natten mellem fredag og lørdag, hvor Blaster var programmeret til at starte sit angreb mod Microsoft. Allerede fredag var det umuligt at komme i kontakt med windowsupdate.com - men det ser ud til, at netop denne forholdsregel har været med til at redde tjenesten.
Microsoft har udnyttet en fejl i Blaster-ormen, som angriber adressen windowsupdate.com. Den rigtige adresse er imidlertid windowsupdate.microsoft.com. Normalt vil Microsoft automatisk viderelede trafikken fra windowsupdate.com til den korrekte adresse - men fredag eftermiddag slukkede Microsoft for denne videreledning. Det betød, at ormeangrebet løb ud i sandet uden at forvolde skade.
For at håndtere den forventede bølge af trafik - som også skyldes at millioner af brugere har hentet fejlrettelsen hos Windows Update i de seneste dage - har Microsoft samtidig indkøbt ekstra server-kapacitet hos Akamai, en virksomhed som råder over et globalt netværk med 15.000 Linux-servere i 60 lande.
Den europæiske webtrafik til Windows Update bliver i øjeblikket videreledt til en Linux-server i Amsterdam.
Et opslag hos server-tjenesten Netcraft bekræfter, at Windows Update siden den 15. august er kørt på servere med operativsystemet Linux.
Microsoft fortæller at man ikke har registreret problemer med netværkstrafikken natten mellem fredag og lørdag - og der er ingen meldinger om, at Windows-brugere har haft problemer med at hente opdateringen hos Windows Update. Det skulle derfor være sikkert, at ormens angreb er mislykket.
Blaster har dermed forfejlet sit primære mål - et massivt distribueret denial-of-service angreb mod Microsoft - men ormen spøger stadig i kulissen. Det skønnes at et sted mellem 120.000 og 1,4 millioner pc'er har været inficeret med ormen, og mange brugere har stadig ikke fået renset pc'en.
»Det store problem med en sådan åben bagdør er, at din pc nu uden din viden er tilgængelig for hackere, så alle lige fra en skoledreng som er sur på en kammerat, eller en ansat som er sur på sin virksomhed eller en person der bare gerne vil kigge i dokumenterne på den inficerede pc har adgang,« kommenterer Ole Schmitto, adm. direktør hos sikkerhedsfirmaet eSec.
Han mener at det er muligt at der i løbet af de næste dage bliver startet manuelle angreb fra hackere, der er frustrerede over at Microsoft har afværget angrebet.
»Det er fortsat vigtigt at opdatere sårbare pc'er, da sikkerhedshullet i RPC som Blaster bruger ellers giver hackere fri adgang til pc'en,« siger han.
Ligesom andre orme bruger Blaster en forholdsvis simpel fremgangsmåde. I første omgang inficerer virussen et stort antal computere, hvor den ligger og slumrer uden at blive opdaget. I denne fase vil ormen forsøge at sprede sig selv, men den vil ikke foretage handlinger, som afslører at den ligger på computeren. Derfor åbner ormen ikke dialogbokse eller forsøger at slette filer på pc'en.
I den anden fase »vågner« ormen og forvandler computeren til en zombie-slave, der adlyder programmørens kommandoer. Det egentlige formål med ormen er at sprede sig over nettet og samle en hær af zombier, der kan træde i aktion på et forudbestemt tidspunkt.
Blaster er programmeret til at sende et stort antal forespørgsler (datapakker) mod Microsofts Windows Update-tjeneste fra den 16. august. Det er den samme opdateringstjeneste, der skal hjælpe Windows-brugere med at lukke det sikkerhedshul, som ormen benytter.
Flere sikkerhedseksperter påpeger, at ormen er meget sjusket programmeret, hvilket har gjort det muligt for Microsoft at afværge angrebet i weekenden.
Men ormen er endnu ikke endeligt besejret. Blaster genererer stadig betydelige mængder trafik, som skaber forsinkelser på nettet, og en ubeskyttet computer som tilsluttes vil automatisk blive inficeret i løbet af få minutter.
Sikkerhedschefen hos antivirusfirmaet Symantec, Vincent Weafer, vurderer at risikoen for nye infektioner fortsat vil være til stede i de næste to år.
De første Blaster-kloner er allerede opstået, og det ventes at nye og mere skadelige varianter vil dukke op inden for kort tid.
Premium
Efter hackerangreb mod Arla er driften tilbage: Selskabet afviser yderligere kommentar