Un retour des emails comme vecteur d'infection notamment via Upatre ou Win32/Dalexis pour pousser des ransomwares mais aussi des attaques plus ciblées comme peut-être concernant une attaque ciblant le monde.fr.
Les Scripts VBS
Les Scripts VBS un langage dans l'environnement Windows ou Internet Explorer. Ce langage est un langage interprété qui ne nécessite pas de compilation, au format texte, il est donc lisible par un humain.
Le Scripts VBS peuvent-être :
- executés directement sous Windows (Windows Script Host), ils peuvent alors avoir l'extension .vbs ou .vbe - ils seront executé par le processus wscript.exe ou cscript.exe
- executés depuis une page HTML - un processus mshta.exe sera executé. Par exemple le malware Trojan.Gootkit et Troj/Wonton
VBS Malicieux par email
L'utilisation de fichiers VBS, via des malwares, pour faire télécharger et installer des malwares sur Windows n'est pas nouveau. 2014, une campagne existait déjà : https://www.malekal.com/2013/11/22/stea ... -francais/
Le VBS contenu dans le fichier zip ..
Déchiffré, on peut voir l'adresse de l'executable téléchargé et executé :
JavaScript Malicieux par email
Des campagnes ont lieu qui renferment des fichiers zip contenant des JavaScript.
Utilisé massivement par les campagnes TeslaCrypt en Décembre 2015 puis Le Ransomware Locky fin Février 2016.
Ce n'est probablement que le début.
Worm.VBS
Pour toutes les explications sur les virus USB ou virus raccourcis USB, se reporter à la page : Les virus par clé USB
Mais aussi des VBS qui se propagent par media-amovibles, VBS.Worm.Autorun
2011 : VBS.Flesh / Worm.VBS.Slogod Worm.VBS.Solow : Autorun par VBS
et une explosion courant 2011 avec des "Rats VBS", c'est à dire des malwares qui permettre le contrôle de l'ordinateur et se propagent aussi par médias amovibles : « RAT » par VBS (VBS.Houdini – Worm:VBS/Jenxcus / Worm.VBS.Dunihi)
Parmi ces Worm.Autorun.VBS, on trouve donc Worm:VBS/Jenxcus, Houdini, VBS.Dunihi.
Aujourd'hui, Dr.Web publie une nouvelle backdoor totalement en VBS qui permet de contrôler l'ordinateur infecté : VBS.BackDoor.DuCk.1
En général, ces malwares sont composés d'un raccourci qui est placé dans le dossier Démarrage et qui lance la commande wscript.exe suivi du script. Les programmes Remediate VBS Worm et USBFix devrait permettre de s'en débarrasser.
A noter que VBS est abandonné au profit de Windows PowerShell, donc on devrait voir ces malwares remplacés par des versions Windows PowerShell. Il existe même un trojan Miner en VBS : VBS/CoinMiner
Campagne d'emails malicieux
Les campagnes d'emails malicieux utilisent aussi le JavaScript qui se charge à partir de WSH (Windows Scripting Host).
Notamment les crypto-ransomware fin 2015 et début 2016 en ont beaucoup utilisé.
Le désactiver, vous protège donc aussi de ces campagnes malicieux.
=> Comment se protéger des scripts malicieux sur Windows
Comment se protéger des malwares VBS / WSH (Windows Scripting Host) ?
Outre les conseils habituels, où il faut faire attention aux fichiers que vous ouvrez, surtout par email.
Il est possible de désactiver Windows Script Host, de ce fait les scripts VBS ne pourront être exécuté sur Windows.
Avec MARMITON
MARMITON est un utilitaire léger, gratuit et en français. Inventé par MALEKAL.COM, il limite les exécutions accidentelles de scripts sur Windows. La liste blanche permet d'autoriser l'exécution des scripts légitimes.
En savoir plus sur MARMITON
Avec Remediate VBS Worm
Remediate VBS Worm désinfecte Windows et ses médias amovibles.
En outre, Remediate VBS Worm permet de désactiver/réactiver Windows Script Host.
Fiche Remediate VBS Worm : http://forum.malekal.com/remediate-vbs-worm-t48588.html
Vous y trouverez les explications pour désactiver WSH Depuis Remediate VBS Worm.
Désactiver Windows Script Host par le registre
Mais il est possible de désactiver Windows Script Host (WSH), pour cela :
- Clic droit sur le lien : https://www.malekal.com/download/DisableWSH.reg puis "Enregistrer-sous" ou "Enregistrer la cible du lien sous"
- Enregistrez le fichier sur le bureau
- Double-cliquez dessus et acceptez l'inscription des données
- Tapez sur la touche Windows + R
- Tapez wscript.exe
- et OK.
L'accès à Windows Script Host est désactivé sur cette machine.
Contactez votre administrateur système pour plus d'informations.
Si Windows Script Host est activé, vous obtenez cette fenêtre, les VBS peuvent alors être exécutés.
Dans le cas où vous avez besoin de réactiver temporairement WSH, vous pouvez utiliser EnableWSH.reg. Le mieux est de le garder dans vos documents en cas de besoin.
AnalogX Script Defender
A noter qu'il existe aussi un programme AnalogX Script Defender qui permet d'empêcher l'exécution des scripts VBS/WSH, ainsi que d'autres type comme les Javascript (JS) qui peuvent aussi être utilisés par email pour télécharger des malwares (exemple avec Malware Defender 2015).
Le programme AnalogX Script Defender permet de désactiver un bon nombre de scripts sur Windows. Il est fortement conseillé de le faire.
Par contre, il est relativement assez inefficace.
AppLocker
Pour les entreprises, AppLocker est une solution efficace pour bloquer l'exécution de binaire et scripts à des groupes d'utilisateurs.
Plus d'informations : Windows AppLocker : bloquer les exécutables et Scripts
Conclusion
Les langages scripts restent une menace et cela devrait continuer avec Windows PowerShell. Non évoqué dans cette page, le langage AutoIt (exemple avec un Worm Autoit est aussi relativement utilisé, ce langage étant compilé, il n'y a pas de possibilité de bloquer son exécution.
Reste qu'il faut rester vigilant sur les fichiers à ouvrir surtout lorsqu'il s'agit de vos courriels.
Dans le même style, vous pouvez désactiver les Macros qui peuvent être utilisées dans des campagne de mails malicieux (par exemple) : http://forum.malekal.com/office-limiter ... 51620.html
Le reste de la sécurité : Comment Sécuriser son Windows