Všechny verze Windows od varianty XP zahrnují klientský software, jenž využívá RDP pro vzdálený přístup k zařízení. Tento program -- Remote Desktop Connection (RDC) -- však vyžaduje pro přihlášení ke vzdálenému systému zadání uživatelského jména a hesla.
PC, jež jsou kompromitována pomocí Morta, skenují lokální síť a vyhledávají další počítače, jež mají spuštěny RDC a po jejich nalezení se pokoušejí přihlásit k Remote Desktop serveru prostřednictvím přednastavené sady hesel. Popkud některé z těchto hesel funguje, červ na příslušný stroj nahraje další malwarové komponenty a vypne bezpečnostní software, aby tak zůstal utajen.
Skenování potenciálních obětí však generuje poměrně významný síťový provoz na TCP portu 3389, tedy tom, jenž Remote Desktop server využívá pro monitorování příchozích požadavků na přístup.
Jeden ze zasažených uživatelů uvádí, že zhruba každých deset minut se objevila doslova záplava pokusů o propojení na portu TCP 3389. Naštěstí je náš firewall zachytil a zablokoval.
Podle analýz, jež učinili pracovníci Microsoftu a F-Secure, je už znám seznam hesel, jež červ využívá při pokusech o napojení na vzdálené PC. Tato hesla zahrnují například tak jednoduché varianty, jako "password," "123456" nebo "abc123."
Jako obrana v tomto případě slouží nastavení silných hesel – červ totiž žádnou zranitelnost uvedeného protokolu či služby nevyužívá.