Pomimo, iż Microsoft udostępnił poprawkę w połowie kwietnia, Korgo a, b i c wciąż znajduje nowe ofiary.
Wirus nie rozprzestrzenia się za pośrednictwem poczty elektronicznej. Wybiera przypadkowe adresy IP i szuka komputerów, które wciąż wykorzystują wadliwy LSASS.
Po wykryciu "dziury" wirus instaluje się na zaatakowanym komputerze. Otwiera liczne porty TCP - między innymi 113, 445, 2041, 3067 i 6667 - a następnie łączy się z licznymi serwerami IRC oczekując dalszych poleceń. Korgo pozwala hakerowi na całkowite przejęcie kontroli nad zainfekowanym systemem. Fińska firma F-Secure uważa, iż twórcami wirusa jest rosyjska grupa "Hangup Team". Osobom, które jeszcze nie zaktualizowały swojego systemu zaleca się pobranie odpowiedniej łaty.
