Copiado de hispasec:
----------------------------------------------------------------
Así funciona
Los ordenadores infectados por Sasser abren un servicio FTP en el
puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto
TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).
El 25% de las direcciones IPs a las que se dirige pertenecen a la
misma clase A que la dirección IP del ordenador infectado, otro 25%
corresponderá a la misma clase B, mientras que el 50% restante
son calculadas completamente al azar.
Cada vez que consigue contactar con el puerto TCP/445 en alguna de
las IPs, envía código para explotar la vulnerabilidad LSASS, de forma
que si el sistema es vulnerable logra abrir un shell en el puerto
TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del
ordenador infectado desde el que realizó el barrido, para descargar
por FTP el ejecutable del gusano. El nombre del archivo descargado
será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.
En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave
en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe"="%Windir%\avserve.exe"
El nuevo sistema infectado actuará entonces como otro punto de
distribución, iniciando un nuevo barrido de IPs en busca de otros
sistemas vulnerables a los que infectar.
--------------------------------------------------------------------
Por lo que tengo entendido, no deberías forwardear nada (ni desde afuera
hacia adentro, ni desde adentro hacia afuera) con el puerto 445 y el
puerto 5554. Luego, quitar el virus. :(
Saludos
Marcelo