Không giống như các loại virus khác, sâu Sasser không cần phải đi kèm với email mà tự động xâm nhập máy qua đường nối mạng (các cổng 445, 5554, 9996, 9995). Tại sao Sasser lại có thể dễ dàng lây nhiễm như vậy, đó là bới vì Sasser khi lây nhiễm bởi một máy tính nào đó, nó sẽ copy vào thư mục cài đặt Window một file avserve2.exe hoặc skynetave.exe (với Sasser loại D) sau đó sẽ nhập đường dẫn của file này vào trong đăng ký của Window (Registry key) theo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run (ta có thể chạy file regedit.exe trong thư mục Window để mở xem thông số này), khi đó sâu Sasser sẽ hoạt động ngay khi Window được khởi động.
Quá trình hoạt động của sâu sẽ tự lây lan qua các cổng nói trên bằng cách thường xuyên tìm kiếm các máy tính khác thông qua các địa chỉ IP, nếu địa chỉ IP nào đang tồn tại thì máy tính đó sẽ “dính” ngay nếu như không được bảo vệ bởi những phần mềm quét virus hoặc các phần mềm “vá” của Microsoft.
Sasser xâm nhập máy nào sử dụng hệ điều hành Windows 2000 và XP mà chưa tải xuống phần mềm bảo vệ của Microsoft. Hiện tại người ta đã phát hiện thấy có 4 biến dạng của Sasser. Loại Sasser D rất xâm nhập máy bằng cách gởi đi vô số dữ liệu làm cho các mạng bị chậm lại.
Windows XP chưa được bảo vệ dễ nhiễm sasser
Các báo cáo ban đầu cho biết người sử dụng đường truyền lớn có nhiều nguy cơ nhiễm Sasser vì đa số không có tường lừa để ngăn chặn sâu có trên Internet. Các chuyên gia khuyên người sử dụng đường truyền lớn ở nhà nên cài đặt tường lừa vì máy nối mạng gần như thường trực.