A Korgo a Microsoft Windows Local Security Authority Subsystem Service-ének (LSASS) sebezhetőségét használja ki, hogy felkerüljön a nem megfelelően védett gépekre. Ugyanezt a hibát aknázta ki korábban a Sasser féreg és számos más, kevésbé elterjedt féregfajta is az óta. A férget a finn F-Secure vírusirtó cég szerint a Russian Hangup Team nevű csoport írta.
A Korgo A-t (és variánsait) C++- ben programozták, méretük körülbelül 10 kilobyte, és UPX-ben vannak tömörítve. A Korgo, miután megtámadta a gépet, véletlenszerűen generált néven a rendszermappába másolja magát, és regisztrálja a fájlt. Ezután új támadható gépek után kezd el kutatni a 445-ös TCP porton, majd a 113-as és 3067-es, és egyéb TCP portokon, és hátsó kapukat nyit a vírust író hackerek számára. A fertőzött gépek néhány IRC-szerverhez is kapcsolódnak, hogy utasításokat fogadhassanak, és adatokat továbbítsanak a vírusíróknak. A fertőzött gépek LSASS-hibaüzenetet írnak ki, és gyakran újraindulnak.
Öt féle üzenetben támad a Plexus
A Korgóhoz hasonlóan a Plexus is az LSASS hibáit aknázza ki, de fájlcserélő hálózatokon és emailekhez csatolt fájlokban is terjed. A Plexus öt féle emaillel próbálja félrevezetni a felhasználókat. Mindegyik üzenetnek más a címe, a szövege és a csatolt fájl neve, méretük azonban azonos: 16208 byte FSG-vel tömörítve, és 57856 kicsomagolva.
A Plexus upu.exe néven regisztrálja magát a Windows rendszermappába, majd biztosítja, hogy elinduljon minden alkalommal, amikor a gép újraindul. Ezután másolatait elküldi az összes emailcímre, amit a merevlemezen talált. Végül megnyitja az 1250-es port-ot, és lehetővé teszi, hogy a vírus írói fájlokat töltsenek le a fertőzött gépről és töltsenek fel rá, ezen kívül meggátolja, hogy a Kapersky Anti-Virus frissítse magát. A Kapersky Labs már kiadott egy frissítést a vírusirtóhoz, ha fertőzött a gépünk, ezt manuálisan kell letöltenünk. Szakértők szerint a szerzők a Mydoom forráskódját hazsnálták a vírus készítésekor. A vírus részletes leírása megtalálható a Kapersky Virus Encyclopediában.