Robak rozprzestrzenia się dokonując logowania do serwerów Remote Desktop za pomocą słabych haseł, takich jak „abc123”. Wszystkie wersje systemu Windows, począwszy od XP, korzystają z RDP, które wymaga nazwy użytkownika i hasła do logowania do zdalnego systemu.
Komputer zainfekowany przez Morto skanuje sieć lokalną w poszukiwaniu kolejnych maszyn z RDP i próbuje się włamać wykorzystując popularne hasła. Gdy któreś z haseł zadziała, robak instaluje dodatkowe elementy malware na serwerze i niszczy jego oprogramowanie. Skanowanie w poszukiwaniu potencjalnych celów generuje znaczny ruch na porcie TCP 3389, co zwróciło uwagę administratorów sieci.
Jak wynika z opinii zawartej na blogu Microsoft, wykorzystujący hasła typu „123456” lub „xyz123” worm Morto może być narzędziem hakerów do walki z ich przeciwnikami. Został utworzony po to, by sparaliżować ruch ofiary przez atak DoS (denial of service).
Źródło: ComputerWorld