ການສືບສວນຄວາມປອດໄພໄດ້ພົບເຫັນ malware ທີ່ເປີດພອດ desktop ໄລຍະໄກຢູ່ໃນ firewall. ພອດ RDP (Remote desktop) ຖືກຕັ້ງຄ່າ, ນີ້ເຮັດໃຫ້ມັນງ່າຍຂຶ້ນສໍາລັບຜູ້ໂຈມຕີທີ່ຈະລ່ວງລະເມີດພອດ RDP ໃນເວລາຕໍ່ມາ.
ມາລແວ Sarwent ໄດ້ນຳໃຊ້ຕັ້ງແຕ່ປີ 2018. ໃນຕົ້ນປີ 2020 Vitali Kwemez ໄດ້ສົ່ງ tweet ກ່ຽວກັບ malware Sarwent ແຕ່ມີຂໍ້ມູນໜ້ອຍໜຶ່ງກ່ຽວກັບ malware Sarwent ໃນອິນເຕີເນັດ.
ວິທີການທີ່ Sarwent malware ຖືກແຜ່ລາມແມ່ນບໍ່ຮູ້ຈັກທັງຫມົດ; ມັນສົງໃສວ່າ Sarwent ຖືກແຜ່ລາມຜ່ານ malware ອື່ນໆ, ອາດຈະເປັນ botnets.
ສິ່ງທີ່ເປັນທີ່ຮູ້ຈັກກ່ຽວກັບ Sarwent ແມ່ນວ່າຫຼັງຈາກການຕິດເຊື້ອ malware ກໍ່ສ້າງໃຫມ່ Windows ບັນຊີຜູ້ໃຊ້ໃນຄອມພິວເຕີແລະເປີດ RDP port 3389 ໃນຄອມພິວເຕີແລະໃນ Firewall. RDP ສ່ວນຫຼາຍອາດຈະຖືກເປີດໃນຄໍາສັ່ງທີ່ຈະເຂົ້າເຖິງຄອມພິວເຕີທີ່ຕິດເຊື້ອໃນພາຍຫລັງໂດຍຜ່ານການສ້າງ Windows ບັນຊີຜູ້ໃຊ້.
ທີ່ຢູ່ IP Sarwent, MD5 hashes, ແລະໂດເມນແມ່ນເປັນທີ່ຮູ້ຈັກຈາກ Sarwent, ລາຍລະອຽດເຫຼົ່ານີ້ຖືກແຈກຢາຍໃຫ້ IOCs (ຕົວຊີ້ວັດການປະນີປະນອມ) ສໍາລັບບໍລິສັດທີ່ຈະກວດພົບ Sarwent.