Questo worm, come le altre varianti del suo codice e come Sasser, sfrutta la nota vulnerabilita' Local Security Authority Subsystem Service (LSASS) di Windows. Anche questo worm non viene diffuso via e-mail.

La diffusione del worm avviene secondo questo schema:
il codice del worm scansiona la rete alla ricerca di macchine vulnerabili. Una volta identificato il sistema attaccabile, il worm tenta di eseguire il proprio codice sul computer. Il worm viene attivato solo se il pc attaccato è privo delle patch diffuse da Microsoft con bollettino MS04-11.

Quando viene eseguito, W32.Korgo.F, apre backdoor sulle porte 113, 3067, e su altre scelte a caso, si connette a dei network IRC per ricevere istruzioni, cerca poi altri sistemi vulnerabili e invia loro il codice nocivo. Il worm permette l' accesso da parte di crackers che potrebbero quindi inserirsi nel computer infetto per eseguire sulle macchine infette qualsiasi operazione da remoto.

Una volta attivato, Korgo interviene anche sul registro di sistema modificando una serie di chiavi rendendo instabile pc rendendo impossibile arrestare o riavviare il sistema.

Uno dei sintomi iniziali di infezione del worm può essere data da un riavvio automatico del pc, causato dal blocco del sistema attaccato.

Per prevenire l'attacco, si raccomanda di installare la patch fornita da Microsoft.