Kudy chodí Sasser

Po červu Sasser.A se dnes objevily další tři varianty Sasser.B, Sasser.C, Sasser.D. Všechny využívají chyby v lsass. Nejdříve si hledají zranitelný systém na portu TCP 445 náhodných IP adres pomocí upraveného paketu. Ten pak způsobí přetečení bufferu s následkem výkonu kódu, v tomto případě otevření shellu na portu 9996 (9995). Útočící červ se poté na tento shell připojí a přiměje napadený systém k downloadu kódu červa pomocí FTP na portu 5554.