Attention au virus !



Depuis hier, un blog Dofus diffuse un logiciel "Calculateur FM Exo". Veuillez ne pas télécharger ce logiciel.

Il s'agit du blog de Fm-Exotique, celui-ci diffuse un logiciel qui fait tout sauf calculer les probabilités de FM Exotique.

Déjà, le programme téléchargé possède la mention "codé en flash", or ce n'est pas du flash (ni sur le screen sur son blog, ni l'exécutable en lui-même). Cela m'a mis la puce à l'oreille, j'ai donc regardé cela de plus près.

J'ai désossé le logiciel et j'y ai trouvé quelques fonctions alarmantes :
- screenshots de votre PC;
- récupération de fichiers de votre PC (AnkamaShield);
- envoi de mail avec pièce-jointe à ce "Fm-Exotique" (devinez les pièces-joints);
- modification du registre;
- envoi d'informations via internet;
- et bien sûr un keylogger permettant de récupérer les touches tapées.

Tout ceci obfusqué (= code source crypté au maximum pour qu'on ne puisse pas voir ce que l'application fait), chose que l'on ne fait pas sur une petite application de calcul de probabilités.

Je vous conseille donc de ne télécharger ce programme EN AUCUN CAS et faites tourner l'information à tous vos amis afin d'éviter que quelqu'un se fasse avoir !

Si vous avez été infecté, essayez dans un premier temps, sur un autre ordinateur que celui infecté, de changer tous les mots de passes (tous les comptes que vous avec connecté et les boites mails associées) puis de désactiver et réactiver AnkamaShield (afin de changer les codes de sécurité).
Je suis actuellement en train d'analyser le fonctionnement du programme pour trouver une désinfection efficace.

Un grand merci à l'équipe Skyrock qui a supprimé très rapidement le blog après notre signalement, mais faites attention ce ne serait pas étonnant qu'il tente de revenir sous un autre nom !

________________________

Pour ce qui est de la désinfection, j'ai un premier jet, que j'espère complet :
- Changez tous les mots de passe et désactivez/réactivez AnkamaShield depuis un PC non infecté.
- Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr), sélectionnez "Calculateur Fm Exo codé en flash.exe" et cliquez sur "Terminer le processus".
- Sous Windows 7, allez dans "%UserProfile%\AppData\Local\Temp" et supprimez TOUT ce qui s'y trouve (Ctrl+A puis Suppr). Si certains fichiers ne peuvent pas être supprimés, ce n'est pas grave tant que ce ne sont pas des fichiers ".exe".

Remix from Team-Teany

Tags : Attention virus

Comment the original article

Comments :

  • Team-Teany

    21/10/2012

    Alice-et-les-Eliatropes wrote: "J'ai trouvé cet article sur le blog d'une fan de Wakfu (puisque mon blog parle de Wakfu) et je l'ai remixé. Je trouve que c'est une très bonne initiative que de prévenir les autres joueurs !
    Ceci mit à part, je trouve ton blog vraiment beau, j'adore, que dis-je... il est magnifique ! Les montages, les textes, le fond... Je suis sous le charme, il faut l'avouer !
    "

    Oui, c'est sûr que c'était vraiment pour éviter que des bloggeurs téléchargent son logiciel et qu'ils se fassent hack :-s
    Et l'article avait en effet fait le tour de beaucoup de blogs ! ^^'

    En tout cas, merci beaucoup ! :D

  • Alice-et-les-Eliatropes

    21/10/2012

    J'ai trouvé cet article sur le blog d'une fan de Wakfu (puisque mon blog parle de Wakfu) et je l'ai remixé. Je trouve que c'est une très bonne initiative que de prévenir les autres joueurs !
    Ceci mit à part, je trouve ton blog vraiment beau, j'adore, que dis-je... il est magnifique ! Les montages, les textes, le fond... Je suis sous le charme, il faut l'avouer !

  • Hezekiel-Khong

    29/07/2012

    merci pour l'info ;)

  • Never-Up

    24/07/2012

    Merchi , auresement j'ai pas ce kikou de m*rde en amis :)

  • FM-exotique

    23/07/2012

    Croyez moi où pas j'ai été hacker moi aussi et on sais "servi" de moi pour porter le chapeau je pense savoir qui c'est je vous tiendrai au courant ... Bref , Si vous enlever pas le virus de votre msconfig il se relancera à chaque redémarrage de votre PC ! Donc voilà croyez moi où pas mais si vous voulez vous désinfecter c'est comme ça ..

  • Team-Teany

    23/07/2012

    nilith wrote: "Le hackeur essaie de se blanchir :3.

    Je l'avais déjà remarqué se logiciel
    il faisait masse de pub et donnait envi avec des gloursonnes PA
    Enfin bref, c'est connu ca.
    En plus, un logiciel comme ca, c'est tellement facile à creer ^^'

    Mais, merci d'avoir confirmé que c'etait bien un virus, vous sauvez plus d'une personne là ! x')
    "

    Oui c'est assez simple à créer, mais pas pour les personnes qui ne s'y connaissent pas du tout c'est un peu le souci. C'est clair qu'il donnait vraiment envie avec tous ses beaux items PA, c'est pour ça qu'il faut faire encore plus attention :x

  • nilith

    23/07/2012

    Le hackeur essaie de se blanchir :3.

    Je l'avais déjà remarqué se logiciel
    il faisait masse de pub et donnait envi avec des gloursonnes PA
    Enfin bref, c'est connu ca.
    En plus, un logiciel comme ca, c'est tellement facile à creer ^^'

    Mais, merci d'avoir confirmé que c'etait bien un virus, vous sauvez plus d'une personne là ! x')

  • Team-Teany

    23/07/2012

    OLF-94 wrote: "C'est moi où le hackeur vient de se rendre tout seul ? xD"

    Je n'y crois pas trop non plus à ses explications, mais bon... xD

  • OLF-94

    23/07/2012

    C'est moi où le hackeur vient de se rendre tout seul ? xD

  • FM-exotique

    22/07/2012

    En réaliter mon ordinateur à été pirater plus ou moins et lorsque j'ai créé ce blog j'ai remarquer que il y avais des conversations que je navais pas écrite et que quelqun utilisais donc mon
    Blog ! Tous les H je remarquais que mon
    Lien changeais j'ai donc télécharger son logiciel pour voir ce que cetait et été hacker moi aussi et donc perdu mes véritable exo . j'ai chercher pour mon désinfecter et j'ai finis par trouver ! le virus se lance au démarrage alors il faut le SUPRIMER dans le gestionnaire de tâche puis allé dans msconfig je m'explique aller sur windows => tape exe => une fois dans l'executable tapez => msconfig ensuite une FEnetre souvrent allez dans l'onglet => démarrage et la vous verrez tous les fichier qui se lance au démarrage dont le virus qui est renommer en flash decochez tous les logiciel flash qui se lance au demarage et ensuite redemarez votrz ordi verifier dans le gestionnaire et msconfig que le virus nest plus present et après avoir fait cela j'ai été enfin débarrasser de ce virus , merci à l'équipe de skyrock d'avoir fermer mon blog mais pour les fans dexo je doute en refaire un autre vu que j'ai été hacker je n'es plus les kamas pour en refaire ...

Report abuse