Известный журналист Брайан Кребс провёл расследование, объектом которого стала антивирусная компания Anvisoft.
Anvisoft — новый игрок на рынке антивирусного ПО. Компания начала свою деятельность год назад, но до сих пор неизвестно, кто за ней стоит. Неизвестно даже, из какой страны эта фирма: на корпоративном форуме сотрудники уверяют, что офис находится в Канаде. На вопрос об основателях компании следует ответ о «группе инноваторов, энтузиастов и дальновидных специалистов», без указания имён. Владельцем торговой марки Anvisoft является китайская компания Chengdu Anvei Technology.
Программы производства Anvisoft распространяются через разные авторитетные каталоги программного обеспечения, и эта компания до сих пор не замечена в какой-то вредоносной деятельности.
Тем не мене, Брайан Кребс обращает внимание на два интересных факта. Во-первых, архив domaintools.com показывает, что раньше WHOIS-запись домена anvisoft.com имела такой вид:
Registrant:
wth rose
Moor Building ST Fremont. U.S.A
Fremont, California 94538
United States
Administrative Contact:
rose, wth wthrose@gmail.com
Moor Building ST Fremont. U.S.A
Fremont, California 94538
United States
(510) 783-9288
Позже её изменили, заменив почтовый адрес wthrose@gmail.com на anvisoftceo@gmail.com.
Второй интересный факт — на IP-адресе anvisoft.com (184.173.181.194) числится ещё один домен nxee.com, который тоже зарегистрирован на адрес wthrose@gmail.com (в исторических записях сохранилось упоминание пользователя tandailin).
Ну а теперь пришло время рассказать, кто такой wthrose@gmail.com. Это довольно известный китайский хакер по кличке Withered Rose, автор блога mghacker.com. Его вредоносная деятельность освещена в отчёте Verisign iDefense от 2007 года. Считается, что Withered Rose был лидером хакерской группы NCPH (Network Crack Program Hacker), которая действовала при государственной поддержке. На их счету — создание руткита с использованием 0day-уязвимости в Microsoft Word и многочисленные атаки на территории США.
Настоящее имя хакера — Тэн Дэйлин (Tan Dailin). На его личный почтовый адрес tandailin@163.com и на адрес wthrose@gmail.com зарегистрировано ещё несколько десятков доменов, в том числе:
best-free-antivirus.net, spyware-removal-tools.com, windows-update-download.com, anvicloud.com, everadmin.com, adware-removal-tools.com, anti-rogue.com, how-to-speed-up-pc.com, games-booster.com, и многие другие.
