Sasser (2004), como Blaster, se aprovechaba de una vulnerabilidad de Windows para propagarse, concretamente en el servicio LSASS (Subsistema de autoridad de seguridad local), del que toma su nombre. También como Blaster, y debido a que el gusano provocaba un desbordamiento de búfer en el ejecutable de LSASS, el sistema se apagaba al poco de tiempo de iniciarse.
Sasser infectó los sistemas de hospitales, universidades, bancos, compañías aéreas, agencias de noticias, … lo que hizo que se cancelaran vuelos, se cerraran empresas durante días, y se tuviera que trasladar enfermos de un hospital a otro.
Sasser se distribuye explotando una vulnerabilidad del sistema mediante un puerto vulnerable. Por lo tanto, es particularmente virulento ya que puede propagarse sin intervención del usuario, pero también es fácilmente detenible gracias a un cortafuegos configurado adecuadamente, o descargando actualizaciones desde Windows Update. El agujero de seguridad específico que Sasser explota está documentado por Microsoft en su boletín MS04-011, del cual se lanzó un parche 16 días antes.
Las primeras notificaciones de esparcimiento se dieron el 12 de abril de 2004. Este gusano fue llamado Sasser debido a que se distribuye explotando un desbordamiento de búfer en un componente clave llamado LSASS (Local Security Authority Subsystem Service por sus siglas en inglés) en los sistemas operativos afectados. El gusano escanea diferentes rangos de direcciones IP y se conecta a los computadores de las víctimas mediante el puerto TCP/IP 445 principalmente. El análisis del gusano por parte de Microsoft indica también que se distribuye mediante el puerto 139. Muchas variantes llamadas Sasser.B, Sasser.C y Sasser.D han aparecido a los pocos días la vulnerabilidad de LSASS fue parchada por Microsoft en abril de 2004 dentro de sus paquetes de seguridad mensuales, previamente al lanzamiento del gusano. Algunos especialistas en tecnología han especulado que el gusano escribe el parche con ingeniería inversa para descubrir la vulnerabilidad, el que puede determinar en millones de computadores si la vulnerabilidad fue resuelta o no.
