Sasser

Apareció en mayo de 2004 y es un virus que explota un agujero de seguridad de LSASS (Autoridad de seguridad local), que corresponde al archivo ejecutable lsass.exe) en Windows. La aparición del primer virus en explotar la falla de seguridad en LSASS de Windows se produjo apenas dos semanas después de que se publicara la falla y se lanzaran los primeros parches correctivos. Windows NT 4.0, 2000, XP y (en menor grado) Windows Server 2003 están todos afectados.
Está programado para ejecutar 128 procesos (1024 para la variante SasserC) que analizan una cantidad de direcciones IP aleatorias que buscan sistemas vulnerables a la falla LSASS en el puerto 455/TCP.
El virus instala un servidor FTP en el puerto 5554 para que otros equipos infectados puedan descargarlo.
Después, cuando encuentra un equipo vulnerable, el gusano abre un shell remoto en el equipo (en el puerto TCO 9996) y hace que el equipo remoto descargue una copia del gusano (denominada avserve.exe o avserve2.exe para la variante Sasser.B) en el directorio de Windows.
Una vez que se descargó el archivo, el virus crea un archivo llamado win.log (o win2.log para la variante Sasser.B) en el directorio c:\ que registra la cantidad de equipos que pueden estar infectados. A continuación, crea entradas en el registro para reiniciarse cada vez que el equipo se reinicie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe o
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe
El virus ejecuta "AbortSystemShutdown" para evitar que el usuario u otros virus reinicien el equipo (o lo desactiven).

Recuperado de:
https://es.ccm.net/contents/750-el-gusano-sasser