Malware par VBS / WSH

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86911
Inscription : 10 sept. 2005 13:57
Contact :

Malware par VBS / WSH

Message par Malekal_morte » 10 avr. 2015 19:58

Voici un article concernant les scripts VBS utilisés dans les mails afin d'infecter des Windows. Cette utilisation n'est pas vraiment nouvelle mais a été médiatisée, à tord, sur la base d'une désinformation sur le récent piratage de TV5 Monde. Merci aux révélations hâtives infondées et mensongères du site breaking3zero. On notera aussi des attaques par mails qui avait été abandonnée de 2012 à 2013 au profit des exploits sur sites WEB notamment avec l'émergence de l'Exploit Kit BlackHole.

Un retour des emails comme vecteur d'infection notamment via Upatre ou Win32/Dalexis pour pousser des ransomwares mais aussi des attaques plus ciblées comme peut-être concernant une attaque ciblant le monde.fr.

Les Scripts VBS

Les Scripts VBS un langage dans l'environnement Windows ou Internet Explorer. Ce langage est un langage interprété qui ne nécessite pas de compilation, au format texte, il est donc lisible par un humain.

Le Scripts VBS peuvent-être :
  • executés directement sous Windows (Windows Script Host), ils peuvent alors avoir l'extension .vbs ou .vbe - ils seront executé par le processus wscript.exe ou cscript.exe
  • executés depuis une page HTML - un processus mshta.exe sera executé. Par exemple le malware Trojan.Gootkit et Troj/Wonton
Ce langage permet d'effectuer des séries d'actions pouvant être assez nuisibles. A partir de là, il est possible, soit de créer un script VBS qui permet de télécharger et exécuter un malware, soit de créer un malware au complet.

VBS Malicieux par email

L'utilisation de fichiers VBS, via des malwares, pour faire télécharger et installer des malwares sur Windows n'est pas nouveau. 2014, une campagne existait déjà : https://www.malekal.com/2013/11/22/steal ... -francais/

Le VBS contenu dans le fichier zip ..
Image

Déchiffré, on peut voir l'adresse de l'executable téléchargé et executé :
Image

JavaScript Malicieux par email

Des campagnes ont lieu qui renferment des fichiers zip contenant des JavaScript.
Utilisé massivement par les campagnes TeslaCrypt en Décembre 2015 puis Le Ransomware Locky fin Février 2016.
Ce n'est probablement que le début.

Image

Image

Worm.VBS

Pour toutes les explications sur les virus USB ou virus raccourcis USB, se reporter à la page : Les virus par clé USB

Mais aussi des VBS qui se propagent par media-amovibles, VBS.Worm.Autorun
2011 : VBS.Flesh / Worm.VBS.Slogod Worm.VBS.Solow : Autorun par VBS
et une explosion courant 2011 avec des "Rats VBS", c'est à dire des malwares qui permettre le contrôle de l'ordinateur et se propagent aussi par médias amovibles : « RAT » par VBS (VBS.Houdini – Worm:VBS/Jenxcus / Worm.VBS.Dunihi)

Parmi ces Worm.Autorun.VBS, on trouve donc Worm:VBS/Jenxcus, Houdini, VBS.Dunihi.

Aujourd'hui, Dr.Web publie une nouvelle backdoor totalement en VBS qui permet de contrôler l'ordinateur infecté : VBS.BackDoor.DuCk.1

En général, ces malwares sont composés d'un raccourci qui est placé dans le dossier Démarrage et qui lance la commande wscript.exe suivi du script. Les programmes Remediate VBS Worm et USBFix devrait permettre de s'en débarrasser.

A noter que VBS est abandonné au profit de Windows PowerShell, donc on devrait voir ces malwares remplacés par des versions Windows PowerShell. Il existe même un trojan Miner en VBS : VBS/CoinMiner

Campagne d'emails malicieux

Les campagnes d'emails malicieux utilisent aussi le JavaScript qui se charge à partir de WSH (Windows Scripting Host).
Notamment les crypto-ransomware fin 2015 et début 2016 en ont beaucoup utilisé.
Le désactiver, vous protège donc aussi de ces campagnes malicieux.
=> Comment se protéger des scripts malicieux sur Windows

Image

Comment se protéger des malwares VBS / WSH (Windows Scripting Host) ?

Outre les conseils habituels, où il faut faire attention aux fichiers que vous ouvrez, surtout par email.
Il est possible de désactiver Windows Script Host, de ce fait les scripts VBS ne pourront être exécuté sur Windows.

Avec MARMITON

MARMITON est un utilitaire léger, gratuit et en français. Inventé par MALEKAL.COM, il limite les exécutions accidentelles de scripts sur Windows. La liste blanche permet d'autoriser l'exécution des scripts légitimes.
En savoir plus sur MARMITON

Image

Avec Remediate VBS Worm

Remediate VBS Worm désinfecte Windows et ses médias amovibles.
En outre, Remediate VBS Worm permet de désactiver/réactiver Windows Script Host.

Fiche Remediate VBS Worm : remediate-vbs-worm-t48588.html
Vous y trouverez les explications pour désactiver WSH Depuis Remediate VBS Worm.

Désactiver Windows Script Host par le registre

Mais il est possible de désactiver Windows Script Host (WSH), pour cela : Pour tester :
  • Tapez sur la touche Windows + R
  • Tapez wscript.exe
  • et OK.
Vous devez obtenir le message suivant :
L'accès à Windows Script Host est désactivé sur cette machine.
Contactez votre administrateur système pour plus d'informations.
Image

Si Windows Script Host est activé, vous obtenez cette fenêtre, les VBS peuvent alors être exécutés.

Image

Dans le cas où vous avez besoin de réactiver temporairement WSH, vous pouvez utiliser EnableWSH.reg. Le mieux est de le garder dans vos documents en cas de besoin.


AnalogX Script Defender

A noter qu'il existe aussi un programme AnalogX Script Defender qui permet d'empêcher l'exécution des scripts VBS/WSH, ainsi que d'autres type comme les Javascript (JS) qui peuvent aussi être utilisés par email pour télécharger des malwares (exemple avec Malware Defender 2015).

Le programme AnalogX Script Defender permet de désactiver un bon nombre de scripts sur Windows. Il est fortement conseillé de le faire.

Par contre, il est relativement assez inefficace.

Image

AppLocker

Pour les entreprises, AppLocker est une solution efficace pour bloquer l'exécution de binaire et scripts à des groupes d'utilisateurs.
Plus d'informations : Windows AppLocker : bloquer les exécutables et Scripts

Image

Conclusion

Les langages scripts restent une menace et cela devrait continuer avec Windows PowerShell. Non évoqué dans cette page, le langage AutoIt (exemple avec un Worm Autoit est aussi relativement utilisé, ce langage étant compilé, il n'y a pas de possibilité de bloquer son exécution.

Reste qu'il faut rester vigilant sur les fichiers à ouvrir surtout lorsqu'il s'agit de vos courriels.

Dans le même style, vous pouvez désactiver les Macros qui peuvent être utilisées dans des campagne de mails malicieux (par exemple) : office-limiter-risques-exposions-aux-ma ... 51620.html

Le reste de la sécurité : Comment Sécuriser son Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités