Қауіпсіздік зерттеулері брандмауэрде қашықтағы жұмыс үстелі порттарын ашатын зиянды бағдарламаны тапты. RDP (Қашықтағы жұмыс үстелі) порттары орнатылды, бұл шабуылдаушыларға кейінірек RDP порттарын теріс пайдалануды жеңілдетеді.
Sarwent зиянды бағдарламасы 2018 жылдан бері қолданылуда. 2020 жылдың басында Виталий Квемез Sarwent зиянды бағдарламасы туралы твит жіберді, бірақ интернетте Sarwent зиянды бағдарламасы туралы ақпарат аз.
Sarwent зиянды бағдарламасының таралу жолы толығымен белгілі емес; Sarwent басқа зиянды бағдарламалар арқылы, мүмкін ботнеттерде таралады деген күдік бар.
Sarwent туралы белгілі нәрсе инфекциядан кейін зиянды бағдарлама жаңасын жасайды Windows компьютердегі пайдаланушы тіркелгісін ашады және компьютерде және желіаралық қалқанда 3389 RDP портын ашады. RDP кейінірек вирус жұққан компьютерге жасалған арқылы қол жеткізу үшін ашылады Windows пайдаланушы тіркелгісі.
Sarwent IP мекенжайлары, MD5 хэштері және домендері Sarwent-тен белгілі, бұл мәліметтер компанияларға Sarwent-ті анықтау үшін IOC-ке (компромисс көрсеткіштері) таратылады.