سیکیورٹی تحقیقات میں میلویئر ملا ہے جو فائر وال پر ریموٹ ڈیسک ٹاپ پورٹس کو کھولتا ہے۔ RDP (ریموٹ ڈیسک ٹاپ) بندرگاہیں ترتیب دی گئی ہیں، اس سے حملہ آوروں کے لیے بعد میں RDP بندرگاہوں کا غلط استعمال کرنا آسان ہو جاتا ہے۔
Sarwent میلویئر 2018 سے استعمال میں ہے۔ 2020 کے آغاز میں Vitali Kwemez نے Sarwent میلویئر کے بارے میں ایک ٹویٹ بھیجا لیکن انٹرنیٹ پر Sarwent میلویئر کے بارے میں بہت کم معلومات ہیں۔
Sarwent میلویئر کے پھیلاؤ کا طریقہ پوری طرح سے معلوم نہیں ہے۔ یہ شبہ ہے کہ سارونٹ دوسرے میلویئر کے ذریعے پھیلتا ہے، ممکنہ طور پر بوٹنیٹس میں۔
سرونٹ کے بارے میں جو معلوم ہے وہ یہ ہے کہ انفیکشن کے بعد میلویئر ایک نیا تخلیق کرتا ہے۔ Windows کمپیوٹر پر صارف اکاؤنٹ کھولتا ہے اور کمپیوٹر پر اور فائر وال میں RDP پورٹ 3389 کھولتا ہے۔ RDP کو زیادہ تر ممکنہ طور پر کھولا جائے گا تاکہ بعد میں تخلیق شدہ کے ذریعے متاثرہ کمپیوٹر تک رسائی حاصل کی جا سکے۔ Windows صارف اکاؤنٹ.
Sarwent IP ایڈریس، MD5 ہیشز، اور ڈومینز Sarwent سے معلوم ہوتے ہیں، یہ تفصیلات IOCs (انڈیکیٹرز آف کمپرومائز) میں تقسیم کی جاتی ہیں تاکہ کمپنیوں کو Sarwent کا پتہ چل سکے۔