Как и предшествующие варианты, Sasser.G при распространении использует уязвимость в локальной подсистеме аутентификации пользователей операционных систем Windows 2000 и ХР. Червь записывает себя в директорию Windows под именем avserve3.exe или wserver.exe и регистрируется в ключе автозапуска реестра. Далее вредоносная программа открывает FTP-сервер на порте 5554 и осуществляет сканирование произвольных IP-адресов в поиске уязвимых машин. Подробное описание червя Sasser.G ищите здесь.

http://security.compulenta.ru/2004/8/25/49459/