Menu Fermer

Protéger son PC des scripts (VBS, JS), HTA malveillants sur Windows

Sur Windows, il existe plusieurs langage de scripts qui peuvent être interpréter par Windows Script Host ou mshta.exe.
Ces scripts sont des portes d’entrée pour exécuter des malwares sur votre PC.

Nous nous intéresserons au deux premiers type de scripts, VBS et JavaScript au sein de Windows.
En effet Windows Script Host via wscript.exe permet l’exécution de ces derniers.
A partir de là, c’est une porte d’entrée pour infecter votre PC avec des trojan ou autres menaces informatiques.

Voici comment se protéger des scripts malveillants sur Windows 11, Windows 10, Windows 7 et 8.

Comment se protéger des scripts (VBS, JS) malveillants sur Windows

Les scripts malveillants pour infecter les PC en Windows

Voici les principaux types de scripts malveillants utilisés :

  • JavaScript, normalement interprété par le navigateur WEB, Windows peut aussi interprété ce dernier. L’extension est .js
  • Visual Basic Scripting Edition ou VBScript, l’extension est .vbe ou .vbs
  • HTA : Une application HTML (HTA) est un programme Microsoft Windows dont le code source est constitué de HTML, de Dynamic HTML et d’un ou plusieurs langages de script pris en charge par Internet Explorer, tels que VBScript ou JScript
  • PowerShell

Les scripts sont utilisés dans les infections suivantes :

Comment bloquer les scripts malveillants sur Windows manuellement

Désactiver Windows Script Host

Tout d’abord commencez par désactiver Windows Script Host.
Cela va empêcher certains script JS et VBS malveillant de s’exécuter dans Windows.
Vous pouvez le faire en suivant ce tutoriel :

Modifier les associations de fichiers

Ensuite, on peut modifier l’association de fichiers pour empêcher les fichiers HTA, VBS, JS de s’ouvrir.
Voici comment faire :

Ouvrir invite de commandes en administrateur
  • Copiez/collez les commandes suivantes :
ftype htafile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"
ftype wshfile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"
ftype wsffile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"
ftype jsfile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"
ftype jsefile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"
ftype vbefile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"
ftype vbsfile="%SystemRoot%\system32\NOTEPAD.EXE" "%1"

Bloquer les connexions sur le pare-feu Windows Defender

Dans un précédent article, je proposais d’améliorer les règles de filtrages de Windows Defender afin de bloquer certains processus systèmes sensibles.
Le tutoriel se trouve ici : Firewall – les bon réglages
Si le suivi de ce tutoriel est trop fastidieux, vous pouvez appliquer ces règles qui vont bloquer les processus liés aux scripts Windows.

Ouvrir invite de commandes en administrateur
  • Puis copiez/collez :
Netsh.exe advfirewall firewall add rule name="Bloquer Notepad.exe" program="%systemroot%\system32\notepad.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer regsvr32.exe" program="%systemroot%\system32\regsvr32.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer calc.exe" program="%systemroot%\system32\calc.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer mshta.exe" program="%systemroot%\system32\mshta.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer wscript.exe" program="%systemroot%\system32\wscript.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer cscript.exe" program="%systemroot%\system32\cscript.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer runscripthelper.exe" program="%systemroot%\system32\runscripthelper.exe" protocol=tcp dir=out enable=yes action=Block profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer hh.exe" program="%systemroot%\system32\hh.exe" protocol=tcp dir=out enable=yes action=Block  profile=any
Netsh.exe advfirewall firewall add rule name="Bloquer powershell.exe" program="%systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe" protocol=tcp dir=out enable=yes action=Block profile=any

Bloquer Mshta.exe et/ou PowerShell.exe

Enfin, vous pouvez bloquer l’exécution de Mshta.exe (Hôte des applications HTML de Microsoft) et/ou Powershell.exe.
Si bloquer mshta.exe ne pose aucun problème, cela est un peu plus gênant avec PowerShell qui peut être utilisé par des applications légitimes.
La méthode proposée ci-dessous ne fonctionne qu’avec les éditions Pro, cela ne fonctionnera pas avec les éditions familles.

  • Téléchargez le fichier suivant :
  • Double-cliquez sur le fichier ZIP puis sur Désactiver-Powershell-MSHTA-reg
  • Puis cliquez sur Oui sur la fenêtre du contrôle des comptes utilisateurs (UAC)
  • Enfin acceptez l’inscription des données
  • PowerShell, Mshta sont alors désactivés de Windows
  • Vous pouvez les réactiver en exécutant le fichier Activer-Powershell-MSHTA-reg
Comment désactiver PowerShell, Mshta

Comment bloquer les scripts malveillants sur Windows avec des utilitaires de sécurité

Vous pouvez utiliser ces outils qui permettent de mieux sécuriser Windows 10 ou Windows 11.
En effet, ils désactivent des fonctions dont Windows Script Host et permettent aussi de changer les associations de fichiers utilisés par les scripts.