В ходе проведенного LogiKeep исследования было установлено, что IP-адреса, имеющиеся в теле вируса, принадлежат одному из крупнейших Internet-шлюзов Китая Chinanet. По словам представителя Центра антивирусных исследований Symantec, QAZ действительно впервые был обнаружен в Китае; вирус должен был похищать пароли и отсылать их на некий адрес электронной почты в этой стране. Однако после идентификации адреса его немедленно отключили. Кроме того, специалисты сходятся во мнении, что IP-адреса, внедренные в вирус, нельзя считать надежным указателем на его создателя, поскольку с их помощью тот может просто-напросто заметать следы. Ранее уже поступали сообщения о том, что вирус создан в российском Санкт-Петербурге, и они оказались ложными. Microsoft отказывается от комментариев по поводу возможности связи между QAZ и китайскими компьютерными системами, и по-прежнему не подтверждает участие "червя" во вторжении. После обнаружения атаки Microsoft сообщила, что хакеры смогли "просмотреть" код некоего "разрабатываемого программного продукта", но никаких свидетельств его модификации выявлено не было. ФБР продолжает расследование инцидента.

Computerworld online, США