Noile analize asupra viermelui Korgo, considerat initial doar o replica a lui Sasser, au relevat ca aparitia celor 12 variante intr-un timp foarte scurt ar putea implica un “experiment periculos” realizat de autorul virusului.

Asemeni lui Sasser, Korgo exploateaza vulnerabilitatea LSASS Buffer Overrun din Microsoft Windows, anuntata initial pe 13 aprilie, in buletinul de securitate Microsoft MS04-011. LSASS (Local Security Authority Subsystem Service) ofera o interfata pentru managementul securitatii locale, autentificarea domeniilor si procesele Active Directory.

Computerele cu Windows 2000 si XP pe care nu au fost instalate patch-urile de securitate sint cele mai expuse riscului infectarii cu Korgo. Spre deosebire de Sasser, Korgo nu isi face la fel de simtita prezenta pe un sistem infectat, ci sta deoparte, iar utilizatorul nu isi da seama de prezenta lui.

In functie de varianta, viermele sterge anumite fisiere, deschide porturi de comunicatii ori se conecteaza la diverse servere IRC, se arata intr-un comunicat al PandaLabs. Strategia sa este, de asemenea, diferita fata de cea obisnuita, intrucit fiecare noua varianta de Korgo este programata sa o stearga pe cea anterioara.