سيڪيورٽي تحقيقات مليا آهن مالويئر جيڪي کليل آهن ريموٽ ڊيسڪ ٽاپ بندرگاهن کي فائر وال تي. آر ڊي پي (ريموٽ ڊيسڪ ٽاپ) بندرگاهن قائم ڪيا ويا آهن، اهو آسان بڻائي ٿو حملي ڪندڙن لاءِ RDP بندرگاهن کي بعد ۾ غلط استعمال ڪرڻ.
Sarwent malware 2018 کان استعمال ۾ آهي. 2020 جي شروعات ۾ Vitali Kwemez Sarwent malware جي باري ۾ هڪ ٽوئيٽ موڪليو پر انٽرنيٽ تي Sarwent malware جي باري ۾ ٿوري معلومات آهي.
جنهن طريقي سان Sarwent مالويئر پکڙيل آهي، مڪمل طور تي معلوم ناهي؛ اهو شڪ آهي ته Sarwent ٻين مالويئر ذريعي پکڙيل آهي، ممڪن طور تي botnets ۾.
سروينٽ بابت ڇا معلوم ٿئي ٿو ته انفيڪشن کان پوءِ مالويئر هڪ نئون ٺاهي ٿو Windows ڪمپيوٽر تي يوزر اڪائونٽ کوليو ۽ ڪمپيوٽر تي ۽ فائر وال ۾ RDP پورٽ 3389 کوليو. RDP گهڻو ڪري کوليو ويندو ته جيئن بعد ۾ ٺاهيل ذريعي متاثر ٿيل ڪمپيوٽر تائين رسائي حاصل ڪرڻ لاء Windows استعمال ڪندڙ اڪائونٽ.
Sarwent IP پتي، MD5 هيش، ۽ ڊومينز Sarwent کان سڃاتل آهن، اهي تفصيل IOCs (Indicators of compromise) ۾ ورهايا ويا آهن ڪمپنين لاءِ Sarwent کي ڳولڻ لاءِ.