Page 1 sur 1

Scripts malicieux : JavaScript, VBS, PowerShell, Macros

Publié : 13 mars 2016 23:19
par Malekal_morte
Une page sur l'actualité des cas d'attaques qui utilisent des scripts malicieux (Microsoft VBS, Microsoft PowerShell, macros Microsoft Office, JavaScript) pour installer des Malwares / Virus.

En avril 2015, j'avais posté l'article Malware par VBS / WSH puisque certaines campagnes d'emails utilisaient déjà des VBS ou JavaScript. C'était notamment le cas en février 2015 du scareware/rogue : Malware Defender 2015. Puis, plus régulièrement des campagnes Dridex à travers des macros Office : Campagnes de courriels piégés avec Word/Excel malicieux.

Les choses se sont accélérées fin 2015, avec des campagnes TeslaCrypt puis celles de Locky fin février 2016 avec des zip contenant du JavaScript.

Image

Image

Aujourd'hui, j'ai reçu un courriel malicieux en langue espagnol, provenant probablement de pirates brésiliens, très actifs ( j'en parlais sur la page Business malwares : le Pourquoi des infections ).

La détection du script VBS :
SHA256: ce0a9a3e09a25828d294ea01ffe7ba9dc1b8c99041846dc23d1d76a10dbd48f7
Ratio de détection : 10 / 57
Date d'analyse : 2016-03-13 10:35:51 UTC (il y a 11 heures, 15 minutes)

Antivirus Résultat Mise à jour
Cyren VBS/Banload.G2!Camelot 20160313
DrWeb VBS.DownLoader.540 20160313
ESET-NOD32 VBS/Obfuscated.G 20160313
Fortinet VBS/Obfuscated.G!tr 20160313
Kaspersky Trojan-Downloader.VBS.Agent.bhq 20160313
McAfee VBS/Downloader.br 20160313
McAfee-GW-Edition VBS/Downloader.br 20160313
Microsoft TrojanDownloader:VBS/Banload 20160313
NANO-Antivirus Trojan.Script.Obfuscated.eaxvjz 20160313
Sophos Troj/VBS-JJ 20160313
Image

Image

Dans une entrée de son blog, McAfee a posté un exemple d'un kit qui permet de créer ces scripts. L'outil Trillium Toolkit Leads to Widespread Malware permet aux attaquants de générer des fichiers piégés, par exemple de créer des *.chm,*.wsf, *.vbs, *.vbe, *.hta, *.htm, *.html, *.bat, *.cmd, *.ps1, *.psc1, *.exe, *.pif, *.scr, *.com, *.url, *.lnk qui permettent de télécharger et d'exécuter un malware sur le Windows de la victime.

Image

Ce dernier n'est vendu que 300$ dans le milieu underground :

Image

Pour aller plus loin, un phénomène qui va monter, les malwares dits 'FileLess', c'est à dire qui utilisent pas ou peu de fichiers sur le disque.

Prévention contre les scripts malicieux

Désactiver Windows Script Host est un bon début,

Re: Scripts malicieux : JavaScript, VBS, PowerShell, Macros

Publié : 27 mars 2016 12:23
par Malekal_morte

Re: Scripts malicieux : JavaScript, VBS, PowerShell, Macros

Publié : 06 avr. 2016 11:03
par Malekal_morte
Exemple d'un Virus.VBS.Crypt (Virus USB Raccourcis) avec 3 détections sur VirusTotal.
Les antivirus gratuits ne bloquent pas au moment où sont écrites ces lignes.

Le programme Marmiton permet de bloquer ces menaces.

Image