Die Abkömmlinge des neuen Internet-Wurms Korgo, bisher sind acht Varianten Korgo.A bis Korgo.G bekannt, nutzen die gleiche Windows-Schwachstelle wie der Sasser-Wurm. Über die LSASS-Lücke dringen sie in Windows-PCs ein und kopieren sich mit einem zufällig erzeugten Namen ins System-Verzeichnis.
Außerdem erstellen die Schädlinge einen Run-Eintrag in der Registry, der sie automatisch startet, wenn sich ein Benutzer anmeldet. Einmal auf dem Rechner aktiv, sucht der Wurm nach weiteren IP-Adressen mit der Windows-Lücke, zudem gibt er Rückmeldungen an einen IRC-Server.
Korgo alias Padobot öffnet außerdem eine Hintertür auf infizierten Systemen. Diese dient dazu, etwa ausführbare Programme auf den Rechner zu laden. So ließe sich ein Spam-Netzwerk oder eine "Denial-of-Service"-Attacke vorbereiten.
Ein Windows-System mit allen Updates schützt vor dem Korgo-Wurm. Auch die aktuellsten Signaturen für Virenscanner erkennen ihn.