Črvi Korgo: nevaren eksperiment?

Najprej je bilo videti, da je črv Korgo.A samo še en posnemovalec zloglasnega črva Sasser. Vendar pa bi hiter pojav 12 zaporednih različic lahko kazal na bolj zlovešče motive, ki pa lahko predstavljajo resno grožnjo integriteti informacijskih sistemov. Črvi Korgo tako kot Sasser izkoriščajo ranljivost LSASS za hitro širjenje preko interneta. Toda za razliko od Sasserja ti črvi poskušajo po okužbi ostati neopazni in zato uporabniki ne bodo opazili znakov, kot so stalno ugašanje in ponovno zaganjanje računalnikov. Odvisno od različice lahko tudi brišejo določene datoteke, odpirajo komunikacijska vrata in se poskušajo povezati na določene strežnike IRC.

Druga pomembna značilnost je, da nekateri od črvov Korgo uporabljajo “mutex” (mutual exclusion objects). Ti objekti lahko nadzorujejo dostop do sistemskih virov in preprečijo, da bi več kot en proces istočasno uporabljal isti vir. Eden od objektov “mutex”, ki so ga ustvarile te zlonamerne programske kode, je “utermXX” (XX je številka – očitno zaporedna). Tako Korgo.C uporablja objekt “mutex” “utwrm7”, Korgo.J pa “uterm12”. To nakazuje, da je lahko vsaj 12 različic tega črva (različica je virus, ki ima utemeljeno drugačne značilnosti od svojih predhodnikov). Poleg tega so tudi druge, manj pomembne različice, ki se od originalne razlikujejo le v malenkostih. Taka sta npr. Korgo.K in Korgo.L, ki se od originalne kode razlikujeta le v majhnih spremembah.

Te zlonamerne programske kode spremenijo tudi registrsko mapo Windows Registry – vsaka nova različica odstrani spremembe svojih predhodnikov in naredi nove. To pomeni, da je vrstni red, po katerem so bile ustvarjene, lahko slediti s spremembami, ki jih delajo. Korgo.D npr. briše vnose črva Korgo.F, kar kaže na to, da je Korgo.D dejansko novejši.