Assiste.com
De violentes campagnes d'attaques par spams piégés, contenant des pièces jointes aux apparences attractives, embarquent des hostilités sous forme de scripts WSH (« Windows Scripting Host »). Malheureusement, les utilisateurs ouvrent tout sans réfléchir.
cr 01.01.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Pour sécuriser un ordinateur sous Windows, il faut impérativement désactiver WSH (« Windows Scripting Host ») pour l'interprétation des scripts (les « macros » (macrocommandes) en VBScript) dont la plupart des ordinateurs et des utilisateurs n'ont absolument pas besoin. Il sera toujours possible de le réactiver momentanément par l'opération inverse, et revenir immédiatement à sa désactivation.
De violentes campagnes d'attaques par spams (envois massifs de mail) piégés, contenant des documents en pièces jointes aux apparences attractives, embarquent des hostilités sous forme de scriptsWSH (« Windows Scripting Host »). Malheureusement, les utilisateurs ouvrent tout sans réfléchir, sans avoir peur ! Pourtant, « La peur est le commencement de la sagesse. » (François Mauriac en 1927 dans son roman Thérèse Desqueyroux).
Les développeurs des monstrueux cryptowares tels que TeslaCrypt, Alpha Crypt, CryptoWall, Locky, Ransom32 Ransomware, KeyBTC, XRT Ransomware, etc. sont tous connus pour utiliser des fichiers de type .js (des scriptsJavaScript) malveillants embarqués dans des pièces jointes (généralement des documents Microsoft Office Word, car Windows sait toujours ouvrir ce format) compressées (dans un format de compression comme zip, car Windows sait toujours ouvrir ce format de compression).
De violentes campagnes d'exploitation de failles de sécurité côté serveurs (ordinateurs hébergeant les sites que vous visitez) permettent aux cybercriminels de pénétrer les serveurs et d'injecter des scanners de failles (packs de scan d'exploits) qui, depuis les pages Web que vous visitez, recherchent les failles de sécurité qui vous affectent (côté client) et compromettent alors votre ordinateur avec des malveillances utilisant WSH (« Windows Scripting Host »).
C'est grâce à WSH (« Windows Scripting Host »), et à l'usage des générateurs de failles en flux continu Internet Explorer et Outlook (ou Outlook Express) au lieu d'outils comme Firefox et Thunderbird, que, par exemple :
Les vers ( worms) VBS.LoveLetter.A et VBS.NewLove.A ont pu se répandre et causer tant de dégâts et tous les virus de type VBS (Visual Basic Script) et SHS (Scripting Host System).
Une grande partie des ransomwares et cryptowares (logiciels prenant toutes vos données en otage et vous demandant de payer une rançon pour vous en rendre l'usage) sont déployés.
WSH (« Windows Scripting Host ») est livré, dans Windows, avec 2 moteurs d'interprétation de scripts :
JScript (le moteur JavaScript à la sauce Microsoft, non standard, non officiel, contenant des exotismes et des failles de sécurité).
VBScript (le moteur Visual Basic Script - Microsoft Visual Basic Scripting Edition - une véritable machine à se faire attaquer - un générateur de failles de sécurité en flux continu).
Les fichiers contenant ces deux interpréteurs sont :
Wscript.exe
Csript.exe
La désactivation du WSH (« Windows Scripting Host ») est l'un des réglages à faire sur votre machine pour la « durcir » (voir la Préparation d'un ordinateur). Le comportement de l'utilisateur, votre comportement, reste la meilleure arme contre la face cachée du Web. Par exemple, n'ouvrez jamais une pièce jointe inconnue (surtout si elle à l'air d'être ludique - c'est à coup sûr un piège). N'ouvrez jamais une pièce jointe ni ne cliquez sur un lien non annoncé par un expéditeur connu et de confiance. Ayez une attitude et un comportement sécurisé, adoptez la bonne réaction face à un évènement hostile sinon vous risquez le virus PEBCAK.
Nota :
Laissez WSH (« Windows Scripting Host ») désactivé en permanence (Disabled) et ne le réactivez que pour un court instant lors d'un Windows-Update (Enabled) sans oublier de le désactiver à nouveau juste après.
Lorsque Windows, Internet Explorer, ou tout autre programme est installé ou mis à jour, l'exécution de scripts grâce à WSH (« Windows Scripting Host ») peut se réactiver à votre insu. Il vous faudra alors désactiver à nouveau WSH (« Windows Scripting Host »).
|
Vous pouvez rencontrer une erreur avec WSH (« Windows Scripting Host ») (par exemple durant l'installation d'un logiciel exploitant l'installateur "Windows Installer", qui s'appuie sur WSH). Suivre les liens ci-après (site de Microsoft - en anglais uniquement). Ces liens ne vous demandent pas d'utiliser la validation de votre Windows (avec l'espion "Genuine bidule" de Microsoft qui vous prend pour un pirate, à charge pour vous de prouver le contraire !) pour résoudre ce problème.
Pour Windows XP : Windows Script 5.7 for Windows XP
Pour Windows 2000 : Windows Script 5.7 for Windows 2000
Pour Windows Server 2003 : Windows Script 5.7 for Windows Server 2003
WSH pour Windows 2000; Windows NT; Windows Server 2003; Windows XP
Redémarrer votre ordinateur une fois la mise à jour effectuée.
|
Utilisation d'outil :
Avec NoScript de Symantec (ne pas confondre avec NoScript)
Symantec (Norton) met gratuitement à notre disposition un petit programme, « NoScript », qui permet de désactiver/réactiver à volonté WSH (« Windows Scripting Host ») très simplement.
Vous pouvez le télécharger ici.
Il n'y a pas de décompression ni d'installation. Il fonctionne immédiatement et en flip/flop (si, à son lancement, WSH est actif, il le désactive (le bouton fait apparaître « Disable » (Désactiver), s'il est désactivé il le réactive (le bouton fait apparaître « Enable » (Autoriser)).NoScript (de Symantec) constate que WSH (« Windows Scripting Host ») est actif et propose la désactivation
NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exeConfirmation de la bonne fin de la désactivation
NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe- NoScript constate que WSH (« Windows Scripting Host ») est désactivé et propose la Réactivation
NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe - Confirmation de la bonne fin de la réactivation
NoScript de Symantec - Désactiver / Activer WSH ( Windows Scripting Host ) JScript - VBScript - Wscript.exe - Csript.exe
D'autres méthodes anciennes, avec AVG Antispywares ou XP-AntiSpy, initialement décrites ici, ont été retirées.
Le programme Marmiton de Malekal permet de bloquer ces scripts :
VBS, VBE, JS, JSE, WSH, WSF, SHB, SHS
Les .HTA ont été ajoutés suite aux récentes campagnes de pourriels.
Télécharger : Marmiton de Malekal.
Désactivation manuelle de WSH (« Windows Scripting Host ») :
Sous Windows 95
Sous Windows 95, Windows Scripting Host n'est pas installé à l'origine. Toutefois, dès lors que vous avez installé ou mis à jour Internet Explorer, à partir de la version 5 de celui-ci, Windows Scripting Host est installé. Pour le désactiver (empêcher l'exécution des scripts) faire :
Lancez l'Explorateur de Windows
Sélectionnez "Affichage"
"Option"Sélectionnez l'onglet "Types de Fichiers"
Localisez et sélectionner "Fichier script VBScript"
Cliquer sur "Supprimer"
Confirmer en cliquant sur "Oui"
Sous Windows 98
Sous Windows 98, Windows Scripting Host est installé par défaut, dès l'origine (ou lors de l'installation d'Internet Explorer 5 ou suivants). Pour le désactiver (empêcher l'exécution des scripts) faire :
Démarrer
Paramètres Panneau de Configuration.Double click sur "Ajout/Suppression de Programmes".
Sélectionnez l'onglet "Windows SetUp".
Double click sur "Accessoires".
Décocher la case "Windows Scripting Host".
Validez ("OK").
Sous Windows 2000
Sous Windows 2000, Windows Scripting Host est installé par défaut, dès l'origine. Pour le désactiver (empêcher l'exécution des scripts) faire :
Explorateur Windows
Outils > Options des dossiers.Sélectionnez l'onglet "Types de fichiers".
Localisez et sélectionner "Fichier script VBScript".
Cliquer sur "Supprimer".
Confirmer en cliquant sur "Oui".
Sous Windows NT
Sous Windows NT, Windows Scripting Host n'est pas installé par défaut mais, dès lors que vous avez installé ou mis à jour Internet Explorer, à partir de la version 5 de celui-ci, Windows Scripting Host est installé. Pour le désactiver (empêcher l'exécution des scripts) faire :
Ouvrez une session administrateur.
Démarrez l'Explorateur de Windows
Affichage > Options.Sélectionnez l'onglet "Types de fichiers".
Localisez et sélectionner "Fichier VBScript".
Cliquez sur "Supprimer".
Confirmez en cliquant sur "Oui".
En accédant à la base de registre
Ne jamais chercher à modifier la base de registre si vous ne savez pas ce que vous faites et si vous n'êtes pas un familier de ce genre d'opérations.
Voir les clés :
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\EnabledSi l'une de ces clés à une valeur DWORD à '0', WSH est désactivé. Mettre cette valeur à '1' réactive le scripting.
|
Ceci est une astuce. Les fichiers à risques de type .WSH sont, normalement, interprétés par WSH (« Windows Scripting Host »). Ceci est paramétré dans la base de registre (association entre un type de fichiers et l'outil à utiliser pour ouvrir ce type de fichiers).
Lire Comment associer un type de fichiers à une application.
Ceci peut être modifié pour faire en sorte que ce type de fichiers .WSH soit ouvert non pas par l'application qui provoque leur "exécution" mais par une application anodine comme le bloc-notes de Windows (NotePad) qui va afficher le contenu du script mais qui ne va pas exécuter le script.
Nota 1:
Vous devez être en mode "Administrateur" pour ce genre de modifications.Nota 2:
Cette astuce peut être réïtérée pour les types de fichiers suivants :Extension
Type
VBS
Fichier script WScript
VBE
Fichier script crypté VBScript
JS
Fichier script JScript
JSE
Fichier script crypté JScript
WSF
Fichier script Windows
WSH
Fichier de configuration de l'environnement d'exécution de script
SHS
Objets bribes de l'environnement
Plus généralement, voir :
La Liste des fichiers non sûrs d'Outlook, Outlook Express et Internet Explorer.
La Liste complète des types de fichiers à risque
L'exemple ci-dessous est donné pour Windows XP et varie selon le système mais le principe reste le même.
Démarrer Poste de travail Outils Options des dossiers Onglet "Types de fichiers" Dans la liste déroulante sélectionner le type WSH (Windows Script Host Settings File)
Dans la zone "Détail concernant l'extension WSH" on voit que ce type de fichiers est ouvert par "Microsoft (r) Windows Based Script Host".
Cliquez sur le bouton "Modifier..." et associez le type WSH à "Bloc-notes". Cochez la case "Toujours utiliser ce programme pour ouvrir ce type de fichiers"
|
Les encyclopédies |
|---|
