Kategorier: Sikkerhedsnyheder

Sarwent malware åbner RDP-porte på inficeret computer

Sikkerhedsundersøgelser har fundet malware, der åbner fjernskrivebordsporte på firewallen. RDP-portene (Remote desktop) er sat op, dette gør det lettere for angribere at misbruge RDP-portene senere.

Sarwent-malwaren har været i brug siden 2018. I begyndelsen af 2020 sendte Vitali Kwemez et tweet om Sarwent-malwaren, men der er lidt information om Sarwent-malwaren på internettet.

Måden, hvorpå Sarwent malware spredes, er ikke helt kendt; det er mistanke om, at Sarwent spredes via anden malware, muligvis i botnets.

Hvad man ved om Sarwent er, at efter infektion opretter malwaren en ny Windows brugerkonto på computeren og åbner RDP-port 3389 på computeren og i firewall'en. RDP vil højst sandsynligt blive åbnet for senere at få adgang til den inficerede computer gennem den oprettede Windows brugerkonto.

Sarwent IP-adresser, MD5 hashes og domæner er kendt fra Sarwent, disse detaljer distribueres til IOC'er (Indicators of compromise) for at virksomheder kan opdage Sarwent.

læs også

Private data millioner af brugere Wishbone app lækket på internettet

Max Reisler

Vær hilset! Jeg er Max, en del af vores team til fjernelse af malware. Vores mission er at være på vagt over for nye malware-trusler. Gennem vores blog holder vi dig opdateret om de seneste malware- og computervirusfarer, og udstyrer dig med værktøjerne til at beskytte dine enheder. Din støtte til at sprede denne værdifulde information på tværs af sociale medier er uvurderlig i vores kollektive indsats for at beskytte andre.