Questo worm si diffonde sfruttando una vulnerabilità di Windows recentemente corretta da Microsoft (Microsoft Security Bulletin MS04-011). A differenza di altri worm, W32.Sasser non viene diffuso via e-mail.

La diffusione del worm avviene secondo questo schema:
il codice del worm scansiona la rete alla ricerca di macchine con la porta 445 TCP aperta. Una volta identificato il sistema attaccabile, il worm tenta di eseguire il proprio codice sul computer. Il worm viene attivato solo se il pc attaccato è privo delle patch diffuse da Microsoft con bollettino MS04-11.

Il codice eseguito sul computer non protetto apre una comunicazione sulla porta 9996 e tramite questa porta, trasmette altro codice per aprire un server FTP minimale sulla porta 5554.

Il worm installa il file avserve2.exe nella directory di Windows e attraverso la chiave del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
il file avserve2.exe viene attivato ad ogni avvio di Windows.

L'autore del worm potrà eseguire sulle macchine infette qualsiasi operazione da remoto.

Per accertarsi della presenza del worm, ricercare tra i file l'eseguibile avserve2.exe nella directory di Windows oppure il file win2.log contente degli indirizzi IP nella directory c:\ del proprio Hard Disk. Ulteriori informazioni sulla protezione e la rimozione del worm sono disponibili a questo indirizzo.

Per prevenire l'attacco, si raccomanda di installare la patch fornita da Microsoft.