સુરક્ષા તપાસમાં માલવેર મળી આવ્યું છે જે ફાયરવોલ પર રીમોટ ડેસ્કટોપ પોર્ટ ખોલે છે. આરડીપી (રિમોટ ડેસ્કટોપ) પોર્ટ સેટ અપ કરવામાં આવ્યા છે, આ હુમલાખોરો માટે પાછળથી આરડીપી પોર્ટનો દુરુપયોગ કરવાનું સરળ બનાવે છે.
સરવેન્ટ માલવેર 2018 થી ઉપયોગમાં લેવાય છે. 2020 ની શરૂઆતમાં વિટાલી ક્વેમેઝે સરવેન્ટ માલવેર વિશે એક ટ્વિટ મોકલ્યું હતું પરંતુ ઇન્ટરનેટ પર સરવેન્ટ માલવેર વિશે થોડી માહિતી છે.
Sarwent માલવેર કેવી રીતે ફેલાય છે તે સંપૂર્ણપણે જાણીતું નથી; એવી શંકા છે કે સરવેન્ટ અન્ય માલવેર દ્વારા ફેલાય છે, સંભવતઃ બોટનેટમાં.
સરવેન્ટ વિશે જે જાણીતું છે તે એ છે કે ચેપ પછી માલવેર નવું બનાવે છે Windows કમ્પ્યુટર પર વપરાશકર્તા ખાતું અને કમ્પ્યુટર પર અને ફાયરવોલમાં RDP પોર્ટ 3389 ખોલે છે. આરડીપી સંભવતઃ બનાવાયેલ દ્વારા ચેપગ્રસ્ત કમ્પ્યુટરને ઍક્સેસ કરવા માટે ખોલવામાં આવશે Windows વપરાશકર્તા ખાતું.
Sarwent IP એડ્રેસ, MD5 હેશ અને ડોમેન્સ સરવેન્ટથી ઓળખાય છે, આ વિગતો IOCs (ઇન્ડિકેટર્સ ઓફ કોમ્પ્રોમાઇઝ) ને કંપનીઓને સરવેન્ટને શોધી કાઢવા માટે વિતરિત કરવામાં આવે છે.