De worm (Morto genoemd) waart waarschijnlijk al sinds begin augustus rond. Toen is er al een stijging gedetecteerd in netwerkscans op de netwerkpoort die dienst doet voor RDP (Remote Desktop Protocol). Er lijkt nu een flinke hoeveelheid machines besmet te zijn, want de scans op de poort (3389) voor RDP stijgen ineens enorm. Dit heeft het onafhankelijke beveiligingsorgaan SANS Institute opgemerkt.

Gedeelde mappen

Antivirusleverancier F-Secure blogt dat Morto Windows-machines scant of RDP aanstaat om dan een reeks wachtwoorden uit te proberen. De worm probeert daarmee binnen te komen op andere computers om zichzelf daarheen te kopiëren via gedeelde 'RDP-mappen' (directories voor de terminal server-software die het op afstand overnemen van pc's mogelijk maakt). Vervolgens gaan die besmette machines ook weer RDP-scans uitvoeren.

De scans raken ook Windows-servers, wat door bezorgde beheerders wordt besproken op het supportforum van Microsoft. De malware kan zowel Windows-desktops als -servers besmetten. De huidige variant van Morto wordt inmiddels herkend door de meeste securitypakketten.

Security saboteren

Morto heeft ingebouwde middelen om zelf op afstand aangestuurd te worden. Het kan ingezet worden om DoS-aanvallen (denial of service) uit te voeren, merkt Microsoft op in zijn eigen analyse van de worm. De malware is ook voorzien van een lijst security-software die het probeert uit te schakelen op computers waar het binnenkomt.