Sasser to robak/wirus internetowy który wykorzystuje do rozpowszechniania się błąd opisany w Microsoft Security Bulletin MS04-011. Po zainfekowaniu systemu robak tworzy kopię samego siebie w pliku [avserve.exe] a następnie modyfikuje rejestr, obszar autostartu, tak by jego kopia była uruchamiana przy każdym starcie systemu Windows. Wirus na zainfekowanej maszynie uruchamia serwer FTP który pracuje na porcie 5554. Następnie robak generuje losowe adresy, IP komputerów i próbuje nawiązać z nim łączność. Gdy dojdzie do połączenia i okaże się, że atakowany komputer pracuje pod kontrolą Windows NT/2000/XP/2003 Server oraz systemy owe nie są zabezpieczone odpowiednią łatą wirus, przez port 445 uruchamia na zdalnym komputerze odpowiedni kod który wymusza pobranie z uruchomionego serwera kopii robaka. Swoją kopie zapisuje na dysku w postaci 4-5 cyfrowych nazw generowanych losowo i z rozszerzeniem [exe]. |