Internetnih črvov, ki se širijo samostojno, je bilo zadnja leta relativno malo, večinoma dandanes zasledimo trojanske konje. Ta vikend pa se je pričel širiti nov črv, poimenovan Morto.

Morto napada postaje in strežnike, na katerih teče operacijski sistem Windows. Za širjenje uporablja nov način, ki ga doslej še nismo zasledili: RDP (Remote Desktop Protocol) oziroma storitev Oddaljeno namizje. Storitev Oddaljeno namizje omogoča, da se uporabnik poveže na oddaljeno postajo ali strežnik in na njem dela tako, kot bi bil prijavljen lokalno.

Črv Morto po okužbi pregleda lokalno omrežje in poizkuša najti druge računalnike, ki omogočajo povezave preko TCP vrat številka 3389. Nanje se poizkusi povezati z uporabniškim imenom Administrator in gesli: admin, password, server, test, user, pass, letmein, 1234qwer, 1q2w3e, 1qaz2wsx, aaa, abc123, abcd1234, admin123, 111, 123, 369, 1111, 12345, 111111, 123123, 123321, 123456, 654321, 666666, 888888, 1234567, 12345678, 123456789 in 1234567890.

Če mu povezava uspe, se skopira na računalnik preko datoteke a.dll. Na računalniku kreira nove datoteke, med drugim \windows\system32\sens32.dll in \windows\offline web pages\cache.txt . Omogoča tudi upravljanje okuženega računalnika na daljavo preko množice strežnikov, med njimi jaifr.com in qfsl.net .

Programi podjetja F-Secure črva zaznajo pod imeni Backdoor:W32/Morto.A in Worm:W32/Morto.B .

Uporabnikom, ki imajo vklopljeno storitev Oddaljeno namizje priporočamo, da za dostop uporabljajo dodatna uporabniška imena (torej ne Administrator), vsekakor pa naj uporabljajo skrbno izbrano geslo. Razmislijo naj tudi o omejitvi uporabe storitve na IP naslov, namesto vrat 3389 uporabljajo druga vrata, če potrebujejo dostop do računalnika v podjetju, pa naj razmislijo o uporabi kriptiranih VPN povezav.