Comment se protéger des scripts (VBS, JS) malveillants sur Windows

Sur Windows, il existe plusieurs langage de Scripts, en autre :

  • JavaScript, normalement interprété par le navigateur WEB, Windows peut aussi interprété ce dernier. L’extension est .js
  • Visual Basic Scripting Edition ou VBScript, l’extension est .vbe ou .vbs
  • AutoIT, il permet de compiler des exécutables.
  • Python, nécessite d’avoir installer la suite python. L’extension est .py

Nous nous intéresserons au deux premiers type de scripts, VBS et Javascript au sein de Windows (ais pas des navigateurs WEB.
En effet Windows Scripting Host permet l’exécution de ces derniers.
A partir de là, c’est une porte d’entrée pour infecter votre PC avec des trojans ou autres menaces.

Voici comment se protéger des scripts malveillants sur Windows 7, 8 et 10.

Comment se protéger des scripts (VBS, JS) malveillants sur Windows

Les Scripts malveillants

En Décembre 2015, la campagne d’emails malicieux poussant du TeslaScript utilisa massivement le JavaScript, puis se fut au tour du Ransomware Locky d’utiliser le JavaScript dans des emails.
Le principe est simple, on envoie des emails zippés contenant un fichier JavaScript, si l’utilisateur double-clic dessus, le malware est téléchargé et installé sur l’ordinateur.

Email_malicieux_JavaScript

Depuis donc, on assiste à une explosion de cette utilisation de scripts malicieux en pièce jointe sous forme de Trojan.Downloader.

Microsoft détecte souvent ces dernières, le lendemain de la campagne, voici quelques unes de ces détections :

  • TrojanDropper:JS/Swabfex
  • TrojanDropper:JS/Nemucod
  • TrojanDropper:JS/Zlader

En vidéo le ransomware Locky bloqué par la désactive de Windows Script Host :

Les Worm.VBS ou virus par clé USB

Les virus par clé USB ou Virus raccourcis USB utilisent aussi les scripts VBS.
En désactivant les scripts sur Windows, vous vous protégez aussi de ce type de virus.

Comment bloquer les scripts malicieux sur Windows

Désactiver Windows Script Host

Le plus simple est de désactiver Windows Script Host, vous pouvez lire notre page et article : Comment désactiver Windows Script Host

Changer les associations de fichiers

Autre solution pour les paranos, en plus de désactiver Windows Script Host, vous pouvez néanmoins changer l’association de fichiers pour faire pointer l’extension .js vers le bloc-note par exemple, ainsi, si un utilisateur double-clic sur un .js, il sera simplement ouvert sur le bloc-note.

Javascript_desactiver_scripts_malicieux

Vous pouvez néanmoins changer l’association de fichiers pour faire pointer l’extension .js vers le bloc-note par exemple, ainsi, si un utilisateur double-clic sur un .js, il sera simplement ouvert sur le bloc-note.
Allez dans le Panneau de configuration\Tous les Panneaux de configuration\Programmes par défaut\Définir les associations

Javascript_desactiver_scripts_malicieux_2

En modifiant l’association de fichiers JavaScript des .js et .jse avec le bloc-note.
Si vous ouvrez un Javascript malicieux, ce dernier s’ouvrira sur le bloc-note et aucun malware ne sera téléchargé et installé sur l’ordinateur.
Cette astuce permet de se protéger contre les Trojan.Downloader.JS par email mais devrait assez inefficace contre les scripts par disques amovibles, puisqu’en général, ces derniers forcent l’utilisation de wscript.exe

Nous vous recommandons très vivement de désactiver Windows Script Host.
Pour les administrateurs réseaux, si un domaine Windows est disponible, vous pouvez utiliser Windows AppLocker

Bien entendu ces méthodes ne bloquent pas 100% des scripts mais aident, plus d’informations sur le contournement sur la page : scripts malveillants & contournements, l’écho des revenants
Les conseils concernant les virus par email : Virus par Email : Ce qu’il faut savoir pour les éviter.
Plus d’informations et conseils sur la manière de sécuriser son ordinateur : Comment Sécuriser son ordinateur

FAQ sur la désactivation de Windows Script Host

Des questions reviennent souvent, j’ajoute donc cette FAQ.

La désactivation peut-il empêcher le surf ?

Non. Windows Script Host n’est pas utilisé pour l’affichage des pages WEB et par les navigateurs WEB.
Rien à voir avec Java ou JavaScript.
La désactivation de Windows Script Host empêche l’exécution de scripts au niveau du shell Windows (l’explorateur de fichiers si vous préférez), les navigateurs WEB ont leurs propres mécanismes d’affichage de age WEB.
Inversement, la désactivation de Windows Script Host ne bloque pas les JavaScript malicieux qui peuvent être utilisés par des infections de type Web Exploit. Une extension type NoScript permet de faire cela, voir la page Sécuriser Firefox.

La désactivation peut-il empêcher certaines applications de fonctionner ?

Cela peut arriver que des applications aient besoin d’utiliser des scripts VBS, dans ce cas, cela peut empêcher celle-ci de fonctionner correctement.
Vous aurez alors la popup de Marmiton ou de Windows indiquant que Windows Script HOST est désactivé.
Il me semble avoir vu des ordinateurs Lenovo ou Sony ayant un scripts VBS au démarrage (ça ne fera pas planté l’ordinateur ou posera de gros problèmes).
Maintenant ceci est relativement rare.

Les virus Powershell

Exactement suivant le même principe, il existe aussi les virus PowerShell : Les virus PowerShell

Protéger son PC des malwares

Enfin pour aller plus loin pour protéger son PC des logiciels malveillants.
Vous pouvez suivre ce tutoriel complet.

Liens connexes

Dans le même style, utilisées dans les campagnes d’emails malicieux, des astuces sur les extensions de fichiers de Windows :

Afficher les extensions de fichiers sur Windows et connaître les astuces utilisées par les cybercriminels, autour des extensions de fichiers, pour vous tromper peuvent vous aider à les éviter.
La vidéo suivante vous donne un aperçu :

Liens généraux :

Si vous souhaitez aller plus loin dans la sécurisation de votre ordinateur, rendez-vous sur la page : Comment sécuriser mon Windows

(Visité 15 402 fois, 35 visites ce jour)

3 Comments

  1. devadip 19 mars 2016
  2. yyy 24 avril 2016
  3. malekalmorte 24 avril 2016

Add Comment