Blaster est un ver informatique qui s'est répandu en août 2003 parmi les ordinateurs tournant avec les systèmes d'exploitation Windows XP et Windows 2000. Il est également connu sous les noms Lovsan ou Lovesan.
Il fut aperçu pour la première fois dans la nature le 11 août. Sa vitesse de propagation augmenta exponentiellement jusqu'à atteindre un pic le 13 août. Seule l'efficacité des filtrages effectués par les fournisseurs d'accès à Internet ainsi que la publicité qu'a entraîné sa rapide propagation ont permis de ralentir celle-ci.
Le but de ce ver était de lancer une attaque en déni de service de type SYN flood le 15 août. La cible étant, comme souvent, Microsoft et plus particulièrement le serveur de mises à jour windowsupdate.com. Les dégâts furent toutefois négligeables car windowsupdate.com n'était qu'une redirection du site principal windowsupdate.microsoft.com. Microsoft n'a eu qu'à fermer le site ciblé par l'attaque et d'en attendre la fin.
Pour se propager, le ver utilisait une faille de type dépassement de tampon dans le service DCOM RPC, affectant le système d'exploitation dans son intégralité.
Le ver contenait deux messages cachés. Le premier déclarait « I just want to say LOVE YOU SAN » (d'où son nom de ver Lovesan). Le second plus polémique était directement adressé à Bill Gates le co-fondateur de Microsoft et cible du ver. Il y était écrit :
Le 29 août 2003, Jeffrey Lee Parson, un jeune homme de 18 ans, fut arrêté pour avoir créé la variante B du ver Blaster. Il plaida coupable et fut condamné à 18 mois de prison.
Bien que le ver ne puisse affecter que les systèmes Windows 2000 et Windows XP (32 bits), il provoque également une instabilité dans tout le reste de la gamme Windows, c'est-à-dire Windows NT, Windows XP (64 bit) et Windows Server 2003. L'instabilité est telle qu'il peut arriver au système de redémarrer après avoir affiché le message suivant :
Ce message d'erreur ainsi que le redémarrage de Windows peuvent être évités en changeant les propriétés du service RPC (Remote Procedure Call), fournissant ainsi suffisamment de temps à l'utilisateur pour supprimer le virus de son système et pour boucher la vulnérabilité.
Une autre méthode consiste à arrêter la séquence de redémarrage en agissant comme suit :
Si la session était ouverte en mode administrateur, cela aura pour effet d'arrêter le redémarrage (l'argument « -a » signifiant « abort » ou « annuler » en français ). Le redémarrage est représenté par une information sur un instant donné (une date et une heure) et non un délai restant, ainsi retarder l'heure de l'ordinateur de quelques jours permet de retarder le redémarrage à l'infini.
Enfin, les systèmes fonctionnant sous Distributed Computing Environment de Open Software Foundation peuvent également être impactés par le trafic généré par le ver, ce dernier provoquant un déni de service.