
Déjà, le programme téléchargé possède la mention "codé en flash", or ce n'est pas du flash (ni sur le screen sur son blog, ni l'exécutable en lui-même). Cela m'a mis la puce à l'oreille, j'ai donc regardé cela de plus près.
J'ai désossé le logiciel et j'y ai trouvé quelques fonctions alarmantes :
- screenshots de votre PC;
- récupération de fichiers de votre PC (AnkamaShield);
- envoi de mail avec pièce-jointe à ce "Fm-Exotique" (devinez les pièces-joints);
- modification du registre;
- envoi d'informations via internet;
- et bien sûr un keylogger permettant de récupérer les touches tapées.
Tout ceci obfusqué (= code source crypté au maximum pour qu'on ne puisse pas voir ce que l'application fait), chose que l'on ne fait pas sur une petite application de calcul de probabilités.
Je suis actuellement en train d'analyser le fonctionnement du programme pour trouver une désinfection efficace.
- Changez tous les mots de passe et désactivez/réactivez AnkamaShield depuis un PC non infecté.
- Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr), sélectionnez "Calculateur Fm Exo codé en flash.exe" et cliquez sur "Terminer le processus".
- Sous Windows 7, allez dans "%UserProfile%\AppData\Local\Temp" et supprimez TOUT ce qui s'y trouve (Ctrl+A puis Suppr). Si certains fichiers ne peuvent pas être supprimés, ce n'est pas grave tant que ce ne sont pas des fichiers ".exe".