Zvláštností tohoto nového červíka je bezesporu jeho šíření přes protokol RDP - tedy Remote Desktop Protocol. Jde o standardní "windowsí" službu, která umožňuje vzdálené připojení k počítači a která je implementována ve všech operačních systémech Windows od XP nahoru.
Přihlášení přes RDP do vzdáleného počítače samozřejmě vyžaduje přihlášení uživatele jménem a heslem stejně, jako když by u počítače přímo seděl. Počítač kompromitovaný Mortem se snaží v síti najít další počítače se spuštěnou službou RDP a k nim se snaží přihlásit pomocí předdefinované sady hesel. Pokud některé heslo "projde", dostane se červ do počítače a nainstaluje další malwarové komponenty a samozřejmě také shodí antivir, aby jeho nekalé rejdy zůstaly nepovšimnuty :)).
Morto při své snaze o kompromitování dalších počítačů generuje poměrně silný síťový provoz na portu 3389 (standardní port, na kterém RDP běží), což v některých případech může vést k jeho prozrazení, zejména ve firmách, které provoz na síti sledují a jsou schopny rychle vyhodnotit případné odchylky od normálu. Co se týče již zmíněné předdefinované sady hesel, výzkumníci z Microsoftu a F-Secure zjistitili, že sada obsahuje opravdu "klasická" hesla typu "123456", "password" nebo "abc123".