Firma F-Secure ostrzega przed robakiem Morto, który rozprzestrzenia się, wykorzystując Windows Remote Desktop Server. Infekuje on głównie serwerowe wersje Windows, na których usługa RDP jest najczęściej włączona i dostępna przez internet w celu zdalnego zarządzania serwerem. Na systemach nieserwerowych usługa jest dostępna tylko w droższych wersjach produktów, a poza tym domyślnie wyłączona.
Nowo odkryty robak nie wykorzystuje żadnych luk w systemie, lecz skanuje całe zakresy adresów IP na porcie 3389, po czym próbuje się logować jako administrator z użyciem często stosowanych haseł. Po udanym logowaniu do zdalnego komputera, Morto tworzy napęd A:, który może być udostępniony jako udział w sieci lokalnej. Zapisuje na nim plik DLL, który rozpoczyna infekcję w sieci lokalnej, a także inne pliki w katalogach systemowych. Na kolejno infekowanych komputerach robak powtarza wszystkie czynności i jest gotowy do dalszego rozprzestrzeniania się. Dodatkowo Morto jest przystosowany do pracy jako botnet, zawiera nazwy domen (jaifr.com, qfsl.net) z których może pobierać nowe komendy i komponenty. Szczegółowa analiza Morto znajduje się m.in. na stronie Microsoftu.
Oczywiście w tym przypadku podstawowym rozwiązaniem jest ustawienie takiego hasła administratora, którego nie da się łatwo odgadnąć.
