Een worm gebruikt Microsofts Remote Desktop Protocol om zichzelf te verspreiden. Voor zover bekend gaat het om de eerste worm die dat protocol gebruikt. Volgens Microsoft is de worm in staat om dos-aanvallen te verrichten.
Volgens F-Secure is het de eerste keer dat een worm het Remote Desktop Protocol van Microsoft gebruikt om zichzelf te verspreiden. De malware verspreidde zich niet dankzij een kwetsbaarheid in rdp; de worm probeert op andere pc's in te loggen met een lijst van standaardaccounts en -wachtwoorden als 'test', 'user', '1234' en 'letmein'. Volgens Microsoft is de worm in staat om denial of service-aanvallen uit te voeren, al is onduidelijk of dat ook daadwerkelijk is gebeurd.
Hoeveel computers zijn geïnfecteerd met de worm, die de naam Morto draagt, is onbekend, maar het Internet Storm Center maakt melding van een grote stijging van het aantal computers dat portscans op poort 3389 uitvoert. Inmiddels lijkt het aantal sources dat rdp-portscans uitvoert fors te verminderen; waarschijnlijk komt dit doordat virusscanners de worm beginnen te detecteren. In ieder geval Microsofts eigen beveiligingssoftware is zo bijgewerkt dat deze het virus kan verwijderen.
Volgens Microsoft zoekt de worm verbinding met een aantal servers, zo blijkt uit een analyse die het bedrijf online heeft gezet. Een deel van die servers lijkt inmiddels offline. Vreemd genoeg behoort het ip-adres van een van de servers waarmee Morto volgens Microsoft contact zoekt toe aan Google. Een ander ip-adres dat zou worden gebruikt eindigt op '820', wat een ongeldige cijfercombinatie is