Seit einigen Tagen verbreitet sich ein Wurm namens Morto im Netz, der in seiner Hauptfunktion nicht etwa eine Sicherheitslücke von Windows ausnutzt, sondern versucht, über das Remote Desktop Protocol (RDP) von Microsoft auf Windows-Rechner zu gelangen.

Antwortet ein Rechner auf die Anfragen über den RDP-Port 3389, versucht er sich mit einfachen Passwörtern als Administrator einzuloggen um sich von dort aus weiter zu verbreiten.

Das proprietäre RDP-Protokoll wird üblicherweise für die Fernwartung von Windows-Rechnern verwendet und ist vor allem bei den Windows-Server-Varianten relevant. Bei den Windows-Versionen für Heimanwender wird der für den Angriff nötige RDP-Server erst ab den Professional-Varianten mitgeliefert und ist dort normalerweise deaktiviert.

Ist der entsprechende Port offen und läuft der nötige RDP-Server, versucht der Wurm Zugriff zu erlangen, in dem er eine einfache Liste von einfachen Standardpasswörtern abarbeitet, wie zum Beispiel 1234, 1111, admin oder password. Zwei unterschiedliche Listen finden sich bei F-Secure und bei der Wurm-Analyse von Microsoft.

Es ist allerdings davon auszugehen, dass diese Listen in Zukunft noch erheblich erweitert werden können, weshalb es auch hier nötig ist individuelle und schwer erratbare Kennwörter zu verwenden.

Einmal auf den Rechner gelangt, erstellt der Wurm ein Laufwerk A: und gibt dies im Netzwerk frei. Dort legt er eine Datei a.dll ab, infiziert darüber das System  und versucht sich von anderen Domains weitere Befehle und Komponenten zu holen.

Er kann somit neue Befehle und Schadfunktionen empfangen und baut so ein Botnetz im herkömmlichen Sinne auf. Ebenso verbreitet er sich von den kompromittierten Rechner aus weiter und schickt selber massiv Traffic auf dem Port 3389 nach außen um weitere Rechner zu infizieren.

Erste Infektionen mit dem Wurm scheinen schon früher aufgetreten zu sein und ebenso bei anderen als den genannten Passwörtern. Es wird vermutet, dass sich der Wurm auch über eine mittlerweile gepatchte Sicherheitslücken verbreitet und sich so zumindest einen Grundstock an infizierten Rechner aufgebaut haben. Der Wurm selbst wird mittlerweile von den meisten Sicherheitsprogrammen erkannt, jedoch ist damit zu rechnen, dass im Laufe der Zeit neue Variationen neben den bereist bekannten Morto.A und Morto.B entstehen werden.