ਸੁਰੱਖਿਆ ਜਾਂਚਾਂ ਵਿੱਚ ਮਾਲਵੇਅਰ ਪਾਇਆ ਗਿਆ ਹੈ ਜੋ ਫਾਇਰਵਾਲ ਉੱਤੇ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪੋਰਟ ਖੋਲ੍ਹਦਾ ਹੈ. ਆਰਡੀਪੀ (ਰਿਮੋਟ ਡੈਸਕਟੌਪ) ਬੰਦਰਗਾਹਾਂ ਸਥਾਪਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਇਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਲਈ ਬਾਅਦ ਵਿੱਚ ਆਰਡੀਪੀ ਪੋਰਟਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨਾ ਸੌਖਾ ਹੋ ਜਾਂਦਾ ਹੈ.
Sarwent ਮਾਲਵੇਅਰ 2018 ਤੋਂ ਵਰਤੋਂ ਵਿੱਚ ਹੈ। 2020 ਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ Vitali Kwemez ਨੇ Sarwent ਮਾਲਵੇਅਰ ਬਾਰੇ ਇੱਕ ਟਵੀਟ ਭੇਜਿਆ ਸੀ ਪਰ ਇੰਟਰਨੈੱਟ 'ਤੇ Sarwent ਮਾਲਵੇਅਰ ਬਾਰੇ ਬਹੁਤ ਘੱਟ ਜਾਣਕਾਰੀ ਹੈ।
ਜਿਸ ਤਰੀਕੇ ਨਾਲ Sarwent ਮਾਲਵੇਅਰ ਫੈਲਦਾ ਹੈ, ਪੂਰੀ ਤਰ੍ਹਾਂ ਜਾਣਿਆ ਨਹੀਂ ਜਾਂਦਾ; ਇਹ ਸ਼ੱਕ ਹੈ ਕਿ ਸਰਵੇਂਟ ਹੋਰ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਫੈਲਿਆ ਹੋਇਆ ਹੈ, ਸੰਭਵ ਤੌਰ 'ਤੇ ਬੋਟਨੈੱਟਸ ਵਿੱਚ।
ਸਰਵੇਂਟ ਬਾਰੇ ਜੋ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ ਉਹ ਇਹ ਹੈ ਕਿ ਲਾਗ ਤੋਂ ਬਾਅਦ ਮਾਲਵੇਅਰ ਇੱਕ ਨਵਾਂ ਬਣਾਉਂਦਾ ਹੈ Windows ਕੰਪਿਊਟਰ 'ਤੇ ਉਪਭੋਗਤਾ ਖਾਤਾ ਅਤੇ ਕੰਪਿਊਟਰ ਅਤੇ ਫਾਇਰਵਾਲ ਵਿੱਚ RDP ਪੋਰਟ 3389 ਖੋਲ੍ਹਦਾ ਹੈ। RDP ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਬਣਾਏ ਗਏ ਦੁਆਰਾ ਲਾਗ ਵਾਲੇ ਕੰਪਿਊਟਰ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਖੋਲ੍ਹਿਆ ਜਾਵੇਗਾ Windows ਉਪਭੋਗਤਾ ਖਾਤਾ.
Sarwent IP ਐਡਰੈੱਸ, MD5 ਹੈਸ਼, ਅਤੇ ਡੋਮੇਨ Sarwent ਤੋਂ ਜਾਣੇ ਜਾਂਦੇ ਹਨ, ਇਹ ਵੇਰਵਿਆਂ ਨੂੰ IOCs (ਸਮਝੌਤੇ ਦੇ ਸੂਚਕ) ਨੂੰ ਕੰਪਨੀਆਂ ਨੂੰ ਸਰਵੇਂਟ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ।