Tako kot različica A, tudi različica B izkorišča ranljivost operacijskega sistema Windows, imenovano LSASS, ki oddaljenemu uporabniku omogoča prevzem nadzora nad ranljivim sistemom. Črv Sasser se tako širi preko napake v LSASS - MS04-011.
Pogoji za okužbo preko Local Security Authority Subsystem Service so:
- operacijski sistem Windows XP ali Windows 2000
- na računalniku niso nameščeni popravki za to napako
- računalnik je povezan v internet brez požarnega zidu
Več informacij o napaki in Microsoftovih popravkih je spodnjih spletnih straneh:
MS04-011_MICROSOFT_WINDOWS in
Microsoft Security Bulletion MS04-11
Črv na okuženem računalniku naredi datoteko 'C:win.log', ustavlja 'LSASS.EXE' in generira promet na TCP portih 445, 5554 in 9996. Verzija virusa Sasser.B se skopira v datoteko AVSERVE2.EXE (prejšnja različica je uporabljala datoteko AVSERVE.EXE),
Za odstranjevanje verzij črvov se lahko uporabi program F-Sasser. Če se računalnik neprestano resetira, se zaustavljanje prekine preko Start - Run - "shutdown -a" - OK.
Več podatkov o virusu, kot tudi orodje in navodila za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.
Virus Sasser okužil že na milijone računalnikov
Nov spletni črv Sasser je v teh dneh okužil že na milijone računalnikov po vsem svetu, pri čemer je resno okrnil delovanje informacijskih sistemov nekaterih železnic, bank in celo uradov Evropske komisije. Ocene internetnih strokovnjakov o razširjenosti črva se močno razlikujejo - po mnenju nekaterih je Sasser okužil že šest milijonov računalnikov po vsem svetu, medtem ko drugi govorijo že o 18 milijonih okuženih računalnikov.
Poleg tega se že pojavljajo nove različice Sasserja. V laboratoriju PandaLabs so tako že odkrili pojav novih različic črva Sasser - Sasser.C in Sasser.D. Pri tem pojasnjujejo, da Sasser.C lahko vzpostavi do 1024 procesov v pomnilniku, zaradi česar je še bolj "nalezljiv" kot njegovi predhodniki.
Po ocenah protivirusnega podjetja F-Secure je bilo doslej okuženih že šest milijonov računalnikov po vsem svetu, med katerimi je bilo tudi nekaj večjih podjetij, ki so zaradi okužbe morala začasno zaustaviti nekatere svoje storitve.
V Microsoftu, kjer so pred tremi tedni objavili obstoj varnostne luknje, ki jo izkorišča Sasser (gre za funkcijo Local Security Authority Subsystem Service), sicer s pomočjo organov pregona že analizirajo zlonamerno kodo Sasserja in iščejo njegove avtorje. Obenem v Microsoftu poudarjajo, da čeprav črv zaenkrat povzroča le izklapljanje in vklapljanje okuženih računalnikov, vseeno povzroča škodo.