Возможно, создатель Korgo пытается создать новые версии, чтобы застать пользователей врасплох и вызвать серьезную эпидемию. Вначале Korgo.A приняли за новую версию знаменитого Sasser. Однако тот факт, что появилось 12 версий, достигших быстрого успеха, указал на более зловещие причины, которые представляют серьезную угрозу целостности информационных систем. Как и Sasser, черви семейства Korgo используют для распространения брешь LSASS, что позволило им быстро охватить весь Интернет. Но в отличие от Sasser, эти вирусы стараются остаться незамеченными при заражении компьютера, поэтому пользователи не наблюдают никаких признаков инфицирования, таких как продолжающиеся перезагрузки пораженного компьютера. Также эти черви могут, в зависимости от версии, удалять определенные файлы, открывать коммуникационные порты и пытаться соединиться с разными серверами IRC. Другая важная характеристика – это то, что некоторые из этих вирусов используют mutex – взаимное исключение объектов. Эти объекты могут контролировать доступ к ресурсам системы и предотвращать одновременное использование одного и того же ресурса в более чем одном процессе. Один из таких mutex, созданных этим вредоносным кодом, назвали “utermXX” (где XX – случайно выбранный номер). Так, в то время как Korgo.C использует mutex “utwrm7”, Korgo.J использует “uterm12”. Это предполагается в том случае, если существует, по крайней мере, 12 версий червя (в этом случае версия – это вирус, обладающий существенно другими характеристиками, чем его предшественники). Кроме того, есть и другие меньшие версии, частично отличающиеся от оригинального кода. Это пример случая с червями Korgo.K и Korgo.L, созданными с минимальными отличиями от оригинального кода. Эти вредоносные коды также изменяют системный реестр Windows, причем каждый новый вариант удаляет изменения, созданные его предшественниками, вызывая, в свою очередь, новые изменения. Это означает, что порядок, в котором они были созданы, можно проследить по изменениям, которые они вызвали. Например, то, что Korgo.D удаляет записи, созданные Korgo.F, предполагает, что Korgo.D – более ранняя версия.
Panda Software