Sur Windows, il existe plusieurs langage de Scripts, en autre :
- JavaScript, normalement interprété par le navigateur WEB, Windows peut aussi interprété ce dernier. L’extension est .js
- Visual Basic Scripting Edition ou VBScript, l’extension est .vbe ou .vbs
- AutoIT, il permet de compiler des exécutables.
- Python, nécessite d’avoir installer la suite python. L’extension est .py
Nous nous intéresserons au deux premiers type de scripts, VBS et Javascript au sein de Windows (ais pas des navigateurs WEB.
En effet Windows Scripting Host permet l’exécution de ces derniers.
A partir de là, c’est une porte d’entrée pour infecter votre PC avec des trojan ou autres menaces informatiques.
Voici comment se protéger des scripts malveillants sur Windows 7, 8 et 10.
Table des matières
Les Scripts malveillants pour infecter les PC
Les virus par e-mail
En Décembre 2015, la campagne d’emails malicieux poussant du TeslaScript utilisa massivement le JavaScript.
Puis ce fut au tour du Ransomware Locky.
Ainsi cela devient ces scripts sont devenus menace importante.
Le principe est simple, on envoie des emails avec des fichiers joints sous la forme de fichier zip ou RAR.
Ce dernier contient un fichier JavaScript ou VBS, c’est le script.
Si l’utilisateur double-clic dessus alors le malware est téléchargé et installé sur l’ordinateur.
Depuis donc, on assiste à une explosion de cette utilisation de scripts malicieux en pièce jointe sous forme de Trojan.Downloader.
C’est à dire que les pirates utilisent les scripts pour télécharger le cheval de troie ou ransomware sur le PC de la victime.
Si votre logiciel antivirus ne bloque pas le script ou la menace finale alors c’est trop tard.
Microsoft détecte souvent ces dernières, le lendemain de la campagne, voici quelques unes de ces détections :
- TrojanDropper:JS/Swabfex
- TrojanDropper:JS/Nemucod
- TrojanDropper:JS/Zlader
En vidéo le ransomware Locky bloqué par la désactive de Windows Script Host :
Les Worm.VBS ou virus par clé USB
Les virus par clé USB ou Virus raccourcis USB utilisent aussi les scripts VBS.
En désactivant les scripts sur Windows, vous vous protégez aussi de ce type de virus.
Comment bloquer les scripts malveillants sur Windows
Comment protéger son PC des scripts malveillants ?
Désactiver Windows Script Host
Le plus simple est de désactiver Windows Script Host.
Vous pouvez lire notre page et article :
Avec des utilitaires de sécurité
Vous pouvez utiliser ces outils qui permettent de mieux sécuriser Windows 10.
En effet, ils désactivent des fonctions dont Windows Script Hosting et permettent aussi de changer les associations de fichiers.
- SysHardener : sécuriser et protéger Windows des virus
- Hard configurator : Sécuriser Windows 10 contre les virus
- Hardentools : Sécuriser Windows
Changer les associations de fichiers
Autre solution pour les paranos, en plus de désactiver Windows Script Host. Vous pouvez néanmoins changer l’association de fichiers pour faire pointer l’extension .JS vers le bloc-note par exemple.
Ainsi, si un utilisateur double-clic sur un .js, il sera simplement ouvert sur le bloc-note.
Pour ce faire :
- Allez dans le Panneau de configuration
- Puis Programmes par défaut
- Définir les associations
- Dans la liste cherchez .JS et .JSE
- puis attribuez l’application Bloc-note
Cette astuce permet de se protéger contre les Trojan.Downloader.JS par email mais devrait assez inefficace contre les scripts par disques amovibles.
En effet ces derniers forcent l’ouverture avec wscript.exe.
Nous vous recommandons très vivement de désactiver Windows Script Host.
Pour les administrateurs réseaux, si un domaine Windows est disponible, vous pouvez utiliser Windows AppLocker
Bien entendu ces méthodes ne bloquent pas 100% des scripts mais aident. plus d’informations sur le contournement sur la page :
- Scripts malveillants & contournements, l’écho des revenants
- Les conseils concernant les virus par email : Virus par E-mail : Comment protéger son PC
- Plus d’informations et conseils sur la manière de sécuriser son ordinateur : Comment Sécuriser son ordinateur
FAQ sur la désactivation de Windows Script Host
Des questions reviennent souvent concernant Windows Script Host.
La désactivation peut-il empêcher le surf ?
Non. Windows Script Host n’est pas utilisé pour l’affichage des pages WEB et par les navigateurs WEB.
Rien à voir avec Java ou JavaScript.
La désactivation de Windows Script Host empêche l’exécution de scripts au niveau du shell Windows.
Les navigateurs WEB ont leurs propres mécanismes d’affichage de page WEB.
Inversement, la désactivation de Windows Script Host ne bloque pas les JavaScript malveillant qui peuvent être utilisés par des infections de type Web Exploit.
Une extension type NoScript permet de faire cela, voir la page Sécuriser Firefox.
La désactivation peut-il empêcher certaines applications de fonctionner ?
Cela peut arriver que des applications aient besoin d’utiliser des scripts VBS.
Dans ce cas, cela peut empêcher celle-ci de fonctionner correctement.
Vous aurez alors la popup de Marmiton ou de Windows indiquant que Windows Script Host est désactivé.
Il me semble avoir vu des ordinateurs Lenovo ou Sony ayant un scripts VBS au démarrage.
Dans ce cas ça ne fera pas planter l’ordinateur ou posera de gros problèmes de fonctionnement.
Maintenant ceci est relativement rare.
Protéger son PC des virus Powershell
Exactement suivant le même principe, il existe aussi les virus PowerShell : Les virus PowerShell.
Pour protéger son ordinateur contre toutes ces menaces informatiques, vous pouvez suivre le paragraphe suivant.
Protéger son PC des virus et malwares
Enfin pour aller plus loin pour protéger son PC des logiciels malveillants.
Vous pouvez suivre ce tutoriel complet.
Liens
Dans le même style, utilisées dans les campagnes de mails malveillants, des astuces sur les extensions de fichiers de Windows.
Afficher les extensions de fichiers sur Windows et connaître les astuces utilisées par les cybercriminels, autour des extensions de fichiers.
Cela afin d’être en mesure de les éviter.
La vidéo suivante vous donne un aperçu :
Liens généraux :
- Les virus informatiques
- Les Ransomwares
Si vous souhaitez aller plus loin pour sécuriser votre ordinateur, rendez-vous sur la page :