Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Paginas de inicio no deseadas -El caso Tezmos

3 views
Skip to first unread message

c.b.

unread,
Oct 10, 2009, 3:13:17 PM10/10/09
to
Un ejemplo de COMO nos podemos encontrar con una pagina de inicio no
deseada, porque se utilizan troyanos para incrementar las visitas:

Trojan-Downloader.Small.CQR aka
Trojan-Downloader.Win32.Small.cqr

Se conecta a otros sitios de Internet para descargar otros 'aliens'
Se instala como "win.exe" en %Windir% (directorio instalación Windows)

Realiza las siguientes modificaciones en el registro:
# [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

* win = "%Windir%\win.exe"
# [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

* Default_Page_URL = "hxxp://xxx.tezmos.net/"

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
o Default_Page_URL = "hxxp://xxx.tezmos.net/"
o Start Page = "hxxp://xxx.tezmos.net/"
* [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
o Start Page = "hxxp://xxx.tezmos.net/"

Por lo cual ya tenemos en este caso a la web tezmos-net:

Google. Acerca de Nosotros | Haz de Tezmos tu página de inicio | ©
Copyright 2009.
tezmos-net/ - En caché - Similares

obligatoriamente como pagina de inicio y descargando nuevo malware.

Registrant:
InkasTech
Pumacurco 650
San Cristobal
Cusco, Cusco cusco 84
Peru

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: TEZMOS.NET
Created on: 04-Feb-09
Expires on: 04-Feb-10
Last Updated on: 07-Oct-09

Administrative Contact:
Melendez Oros, Michel Sandro dom...@inkastech.us
InkasTech
Pumacurco 650
San Cristobal
Cusco, Cusco cusco 84
Peru
+51.084240417 Fax --

Technical Contact:
Melendez Oros, Michel Sandro dom...@inkastech.us
InkasTech
Pumacurco 650
San Cristobal
Cusco, Cusco cusco 84
Peru
+51.084240417 Fax --

Domain servers in listed order:
NS1.NAMESERVERSERVICE.COM
NS2.NAMESERVERSERVICE.COM

Best regards
c.b.

noSign

unread,
Oct 11, 2009, 8:44:19 AM10/11/09
to
En el foro de seguridad de microsoft no consiguen borrarlo, incluso
recomiendan reinstalar el SO
http://groups.google.com/group/microsoft.public.es.seguridad/browse_thread/thread/b8ab31eecfc3c466?hl=es#

� seria suficiente con el uso de Hijackthis ?


Un saludo
noSign

"c.b." <simequier...@despammed.com> escribi� en el mensaje
news:haqmcd$r6e$1...@news.eternal-september.org...


> Un ejemplo de COMO nos podemos encontrar con una pagina de inicio no
> deseada, porque se utilizan troyanos para incrementar las visitas:
>
> Trojan-Downloader.Small.CQR aka
> Trojan-Downloader.Win32.Small.cqr
>
> Se conecta a otros sitios de Internet para descargar otros 'aliens'

> Se instala como "win.exe" en %Windir% (directorio instalaci�n Windows)


>
> Realiza las siguientes modificaciones en el registro:
> # [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
>
> * win = "%Windir%\win.exe"
> # [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
>
> * Default_Page_URL = "hxxp://xxx.tezmos.net/"
>
> * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
> o Default_Page_URL = "hxxp://xxx.tezmos.net/"
> o Start Page = "hxxp://xxx.tezmos.net/"
> * [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
> o Start Page = "hxxp://xxx.tezmos.net/"
>
> Por lo cual ya tenemos en este caso a la web tezmos-net:
>

> Google. Acerca de Nosotros | Haz de Tezmos tu p�gina de inicio | �
> Copyright 2009.
> tezmos-net/ - En cach� - Similares

c.b.

unread,
Oct 11, 2009, 9:52:50 AM10/11/09
to
El Sun, 11 Oct 2009 14:44:19 +0200, noSign escribió:

> En el foro de seguridad de microsoft no consiguen borrarlo, incluso
> recomiendan reinstalar el SO

Esa gente siempre ha gustado de la lija y el martillo ;)

> ¿ seria suficiente con el uso de Hijackthis ?

El Hijack es una buena herramienta. No lo sé en este caso. Ellos (los del
'malware')tienen muchos recursos a su disposición. Uno de ellos la
continua actualización del 'malware'

Por ejemplo, también puede descargar una variante que es más compleja
y que instala más archivos. Eso sí, modifica las mismas claves del
registro; por lo cual, desactivando las claves, y desconectando de Inet,
se podría pasar a realizar análisis y limpieza.

Busca por "NenaTube+videosxxx.exe" (literal) y volverás a dar con malware
que convierte a 'tezmos' en la pagina de inicio quieras, o no.
La web que lo propaga es:
xxx-nenatube-com

y el whois nos da el mismo resultado que en el caso anterior:

Registrant:
InkasTech
Pumacurco 650
San Cristobal
Cusco, Cusco cusco 84
Peru

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)

Domain Name: NENATUBE.COM
Created on: 10-Jul-08
Expires on: 10-Jul-10
Last Updated on: 08-Oct-09


Administrative Contact:
Melendez Oros, Michel Sandro dom...@inkastech.us

Tienen, además, aparentemente, estos dominios:
*.dedicar-videos-com
*.guardavideos-com
*.messenger-live-net
*.mp3buscador-com
*.nenatube-com
cuscowifi-com
dedicar-videos-com
guardavideos-com

Aquí el caso sería que cerrasen o "blacklistasen" todas esas webs, previo
aviso e inspección de sus descargas "forzadas, o no".

Best regards
c.b.

0 new messages