Scripts malicieux : JavaScript, VBS, PowerShell, Macros

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 97669
Inscription : 10 sept. 2005 13:57
Contact :

Scripts malicieux : JavaScript, VBS, PowerShell, Macros

Message par Malekal_morte » 13 mars 2016 23:19

Une page sur l'actualité des cas d'attaques qui utilisent des scripts malicieux (Microsoft VBS, Microsoft PowerShell, macros Microsoft Office, JavaScript) pour installer des Malwares / Virus.

En avril 2015, j'avais posté l'article Malware par VBS / WSH puisque certaines campagnes d'emails utilisaient déjà des VBS ou JavaScript. C'était notamment le cas en février 2015 du scareware/rogue : Malware Defender 2015. Puis, plus régulièrement des campagnes Dridex à travers des macros Office : Campagnes de courriels piégés avec Word/Excel malicieux.

Les choses se sont accélérées fin 2015, avec des campagnes TeslaCrypt puis celles de Locky fin février 2016 avec des zip contenant du JavaScript.

Image

Image

Aujourd'hui, j'ai reçu un courriel malicieux en langue espagnol, provenant probablement de pirates brésiliens, très actifs ( j'en parlais sur la page Business malwares : le Pourquoi des infections ).

La détection du script VBS :
SHA256: ce0a9a3e09a25828d294ea01ffe7ba9dc1b8c99041846dc23d1d76a10dbd48f7
Ratio de détection : 10 / 57
Date d'analyse : 2016-03-13 10:35:51 UTC (il y a 11 heures, 15 minutes)

Antivirus Résultat Mise à jour
Cyren VBS/Banload.G2!Camelot 20160313
DrWeb VBS.DownLoader.540 20160313
ESET-NOD32 VBS/Obfuscated.G 20160313
Fortinet VBS/Obfuscated.G!tr 20160313
Kaspersky Trojan-Downloader.VBS.Agent.bhq 20160313
McAfee VBS/Downloader.br 20160313
McAfee-GW-Edition VBS/Downloader.br 20160313
Microsoft TrojanDownloader:VBS/Banload 20160313
NANO-Antivirus Trojan.Script.Obfuscated.eaxvjz 20160313
Sophos Troj/VBS-JJ 20160313
Image

Image

Dans une entrée de son blog, McAfee a posté un exemple d'un kit qui permet de créer ces scripts. L'outil Trillium Toolkit Leads to Widespread Malware permet aux attaquants de générer des fichiers piégés, par exemple de créer des *.chm,*.wsf, *.vbs, *.vbe, *.hta, *.htm, *.html, *.bat, *.cmd, *.ps1, *.psc1, *.exe, *.pif, *.scr, *.com, *.url, *.lnk qui permettent de télécharger et d'exécuter un malware sur le Windows de la victime.

Image

Ce dernier n'est vendu que 300$ dans le milieu underground :

Image

Pour aller plus loin, un phénomène qui va monter, les malwares dits 'FileLess', c'est à dire qui utilisent pas ou peu de fichiers sur le disque.

Prévention contre les scripts malicieux

Désactiver Windows Script Host est un bon début,


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 97669
Inscription : 10 sept. 2005 13:57
Contact :

Re: Scripts malicieux : JavaScript, VBS, PowerShell, Macros

Message par Malekal_morte » 27 mars 2016 12:23

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 97669
Inscription : 10 sept. 2005 13:57
Contact :

Re: Scripts malicieux : JavaScript, VBS, PowerShell, Macros

Message par Malekal_morte » 06 avr. 2016 11:03

Exemple d'un Virus.VBS.Crypt (Virus USB Raccourcis) avec 3 détections sur VirusTotal.
Les antivirus gratuits ne bloquent pas au moment où sont écrites ces lignes.

Le programme Marmiton permet de bloquer ces menaces.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »