Depuis hier, un blog Dofus diffuse un logiciel "Calculateur FM Exo". Veuillez ne pas télécharger ce logiciel.
Il s'agit du blog de Fm-Exotique, celui-ci diffuse un logiciel qui fait tout sauf calculer les probabilités de FM Exotique.
Déjà, le programme téléchargé possède la mention "codé en flash", or ce n'est pas du flash (ni sur le screen sur son blog, ni l'exécutable en lui-même). Cela m'a mis la puce à l'oreille, j'ai donc regardé cela de plus près.
J'ai désossé le logiciel et j'y ai trouvé quelques fonctions alarmantes :
- screenshots de votre PC;
- récupération de fichiers de votre PC (AnkamaShield);
- envoi de mail avec pièce-jointe à ce "Fm-Exotique" (devinez les pièces-joints);
- modification du registre;
- envoi d'informations via internet;
- et bien sûr un keylogger permettant de récupérer les touches tapées.
Tout ceci obfusqué (= code source crypté au maximum pour qu'on ne puisse pas voir ce que l'application fait), chose que l'on ne fait pas sur une petite application de calcul de probabilités.
Déjà, le programme téléchargé possède la mention "codé en flash", or ce n'est pas du flash (ni sur le screen sur son blog, ni l'exécutable en lui-même). Cela m'a mis la puce à l'oreille, j'ai donc regardé cela de plus près.
J'ai désossé le logiciel et j'y ai trouvé quelques fonctions alarmantes :
- screenshots de votre PC;
- récupération de fichiers de votre PC (AnkamaShield);
- envoi de mail avec pièce-jointe à ce "Fm-Exotique" (devinez les pièces-joints);
- modification du registre;
- envoi d'informations via internet;
- et bien sûr un keylogger permettant de récupérer les touches tapées.
Tout ceci obfusqué (= code source crypté au maximum pour qu'on ne puisse pas voir ce que l'application fait), chose que l'on ne fait pas sur une petite application de calcul de probabilités.
Je vous conseille donc de ne télécharger ce programme EN AUCUN CAS et faites tourner l'information à tous vos amis afin d'éviter que quelqu'un se fasse avoir !
Si vous avez été infecté, essayez dans un premier temps, sur un autre ordinateur que celui infecté, de changer tous les mots de passes (tous les comptes que vous avec connecté et les boites mails associées) puis de désactiver et réactiver AnkamaShield (afin de changer les codes de sécurité).
Je suis actuellement en train d'analyser le fonctionnement du programme pour trouver une désinfection efficace.
Je suis actuellement en train d'analyser le fonctionnement du programme pour trouver une désinfection efficace.
Un grand merci à l'équipe Skyrock qui a supprimé très rapidement le blog après notre signalement, mais faites attention ce ne serait pas étonnant qu'il tente de revenir sous un autre nom !
________________________
Pour ce qui est de la désinfection, j'ai un premier jet, que j'espère complet :
- Changez tous les mots de passe et désactivez/réactivez AnkamaShield depuis un PC non infecté.
- Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr), sélectionnez "Calculateur Fm Exo codé en flash.exe" et cliquez sur "Terminer le processus".
- Sous Windows 7, allez dans "%UserProfile%\AppData\Local\Temp" et supprimez TOUT ce qui s'y trouve (Ctrl+A puis Suppr). Si certains fichiers ne peuvent pas être supprimés, ce n'est pas grave tant que ce ne sont pas des fichiers ".exe".
- Changez tous les mots de passe et désactivez/réactivez AnkamaShield depuis un PC non infecté.
- Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr), sélectionnez "Calculateur Fm Exo codé en flash.exe" et cliquez sur "Terminer le processus".
- Sous Windows 7, allez dans "%UserProfile%\AppData\Local\Temp" et supprimez TOUT ce qui s'y trouve (Ctrl+A puis Suppr). Si certains fichiers ne peuvent pas être supprimés, ce n'est pas grave tant que ce ne sont pas des fichiers ".exe".
Attention virus
