Za potrebe analize omrežnega dogajanja smo na SI-CERTu vzpostavili t.i. darknet, s katerim opazujemo anomalije v omrežju. Tako smo v preteklih tednih svojo pozornost posvetili tudi dogajanju v zvezi s širitvijo črva Morto. Na črva in metode, ki jih uporablja za svojo širitev, smo javnost opozorili tudi preko obvestila.
Uporabljen način zaznave, ki beleži povezave v nedodeljen košček interneta, ne kaže izrazitega povečanja pregledovanja po odprtih vratih 3389. Slednjega uporablja protokol RDP, ki je sicer namenjen oddaljenemu dostopu do sistemov Windows. Za uspešno širitev črva Morto bi tako zaznali povečano pregledovanje po protokolu RDP, katerega izkorišča črv Morto za svojo širitev. Sklepamo, da razlog za nezaznavanje širitve tiči tudi v uporabljenem naboru gesel, ki je sorazmerno majhen in hkrati neznačilen za naše geografsko področje.
Na grafu je prikazana zabeležena aktivnost zaznanih povezav na vrata 3389 (TCP SYN paketi) v preteklih tednih (12. avg. do 9. sept. 2011). Tako na primer v predelu, kjer se stolpec povzpne vse do 12, torej ponazarja enako število zabeleženih povezav proti t.i. darknet omrežju. 