Na początku maja pojawił się nowy robak internetowy - Sasser. W kilka dni po jego pojawieniu się, przedstawiciele Symanteca mówili o dziesiątkach tysięcy zainfekowanych komputerów. Infekcja dotknęła wiele firm, a także urzędy Unii Europejskiej.

Sasser wykorzystuje lukę umożliwiającą przepełnienie bufora w module LSASS (Local Security Authority Subsystem Service) w Windows 2000, XP i 2003 Server. W efekcie przejmuje kontrolę nad komputerem. Luka ta została omówiona w kwietniu br. w biuletynie bezpieczeństwa Microsoftu MS04-011. Wówczas też Microsoft opublikował konieczne poprawki.

Sasser może dostać się do komputera użytkownika bez jego wiedzy i udziału, co upodabnia go do Blastera. Kopiuje się do katalogu systemowego Windows, dokonując takich zmian w rejestrze, aby mógł automatycznie aktywować się za każdym uruchomieniem systemu. Gdy podatna na zainfekowanie maszyna zostanie zlokalizowana, Sasser wysyła do niego pakiet, powodujący przepełnienie bufora i zmuszenie użytkownika do niekończącego się ponownego uruchamiania komputera.

Microsoft postanowił pomóc w schwytaniu autora Sassera, podejmując współpracę z amerykańskim FBI, brytyjskim Secret Service i lokalnymi siłami policyjnymi.