Известный журналист Брайан Кребс провёл расследование, объектом которого стала антивирусная компания Anvisoft.

Anvisoft — новый игрок на рынке антивирусного ПО. Компания начала свою деятельность год назад, но до сих пор неизвестно, кто за ней стоит. Неизвестно даже, из какой страны эта фирма: на корпоративном форуме сотрудники уверяют, что офис находится в Канаде. На вопрос об основателях компании следует ответ о «группе инноваторов, энтузиастов и дальновидных специалистов», без указания имён. Владельцем торговой марки Anvisoft является китайская компания Chengdu Anvei Technology.

Программы производства Anvisoft распространяются через разные авторитетные каталоги программного обеспечения, и эта компания до сих пор не замечена в какой-то вредоносной деятельности.

Тем не мене, Брайан Кребс обращает внимание на два интересных факта. Во-первых, архив domaintools.com показывает, что раньше WHOIS-запись домена anvisoft.com имела такой вид:

Registrant:
   wth rose
   Moor Building  ST Fremont. U.S.A
   Fremont, California 94538
   United States
Administrative Contact:
      rose, wth  wthrose@gmail.com
      Moor Building  ST Fremont. U.S.A
      Fremont, California 94538
      United States
      (510) 783-9288

Позже её изменили, заменив почтовый адрес wthrose@gmail.com на anvisoftceo@gmail.com.

Второй интересный факт — на IP-адресе anvisoft.com (184.173.181.194) числится ещё один домен nxee.com, который тоже зарегистрирован на адрес wthrose@gmail.com (в исторических записях сохранилось упоминание пользователя tandailin).

Ну а теперь пришло время рассказать, кто такой wthrose@gmail.com. Это довольно известный китайский хакер по кличке Withered Rose, автор блога mghacker.com. Его вредоносная деятельность освещена в отчёте Verisign iDefense от 2007 года. Считается, что Withered Rose был лидером хакерской группы NCPH (Network Crack Program Hacker), которая действовала при государственной поддержке. На их счету — создание руткита с использованием 0day-уязвимости в Microsoft Word и многочисленные атаки на территории США.

Настоящее имя хакера — Тэн Дэйлин (Tan Dailin). На его личный почтовый адрес tandailin@163.com и на адрес wthrose@gmail.com зарегистрировано ещё несколько десятков доменов, в том числе:

best-free-antivirus.net, 
spyware-removal-tools.com, 
windows-update-download.com,
anvicloud.com,
everadmin.com,
adware-removal-tools.com, 
anti-rogue.com, 
how-to-speed-up-pc.com, 
games-booster.com,
и многие другие.



Оставить мнение