mshta.exe, fichier HTA et les malwares

Mshta.exe (Hôte des applications HTML de Microsoft) pour exécuter les fichiers Microsoft HTML Application (HTA).
En parcourant les processus Windows depuis le gestionnaire de tâches, vous avez pu rencontrer ce dernier.
Il est aussi possible que vous rencontriez des problèmes pour exécuter un fichier HTA.
Ou encore si vous êtes ici, c’est que vous recherchez des informations sur la sécurité de votre PC ou des menaces informatiques provenant de ce type de fichiers.

Ce tutoriel vous explique ce qu’est mshta.exe, à quoi il sert, ce que sont aussi les fichiers HTA et les implications de sécurité.
En fin d’article, je vous donne un lien pour bloquer mshta.exe.

Qu’est-ce que mstha.exe

Mshta.exe (Hôte des applications HTML de Microsoft) est un fichier binaire natif de Windows conçu pour exécuter les fichiers Microsoft HTML Application (HTA).
Comme son nom complet l’indique, Mshta peut exécuter le code de l’hôte Windows Scripting Host (VBScript et JScript) intégré au HTML en tenant compte du proxy réseau.

Les informations sur ce fichier :

• Développeur : Microsoft Corporation
• Programmes : Application HTML de Microsoft (Internet Explorer/Windows Internet Explorer)
• Fichier exécutable/processus : Mshta.exe
• Système d’exploitation : Windows (Version 11/10/8/7/XP)
• Type de fichier : Fichier système essentiel de Windows
• Emplacement du dossier : Dossier C:\Windows\System32
• Taille(s) connue(s) du fichier : La taille moyenne des fichiers est de 13 312 octets, parfois de 45 568 octets et de six variantes supplémentaires

Qu’est-ce qu’un fichier HTA

Une application HTML (HTA) est un programme Microsoft Windows dont le code source est constitué de HTML, de Dynamic HTML et d’un ou plusieurs langages de script pris en charge par Internet Explorer, tels que VBScript ou JScript.

Dans Windows, un utilisateur peut double-cliquer sur un fichier HTA pour l’exécuter.
Le processus Mshta se charger d’interpréter le code pour l’exécuter dans Windows.
De ce fait, le fichier HTA est considéré comme un fichier exécutable à part entière, au même titre qu’un fichier EXE ou SCR.

Voici à droite, un exemple de fichier HTA avec du HTML, mêlant du JavaScript et du VBSCript.
A son exécution en double cliquant dessus, une popup interprétant le code via mshta.exe s’affiche.
Le bouton Hello est en VBScript et permet d’afficher un messagebox.

Dans le gestionnaire de tâches, on peut donc voir Hôte des applications HTML de Microsoft qui correspond à mshta.exe en cours d’exécution.

mshta.exe dans Windows, fichier HTA e les attaques de malwares

Ces capacités font de Mshta un moyen intéressant pour les attaquant pour exécuter par procuration un code script arbitraire par le biais d’un utilitaire signé et fiable, ce qui en fait une technique fiable à la fois au début et à la fin d’une infection.

• En ligne via un argument passé dans la ligne de commande à Mshta ; Cela peut aussi être intégré dans un LNK Malware
• Exécution basée sur un fichier via un fichier d’application HTML (HTA)
• Exécution basée sur COM pour un déplacement latéral
• En appelant la fonction d’exportation RunHTMLApplication de mshtml.dll avec rundll32.exe comme alternative à mshta.exe

Les fichiers HTA sont donc régulièrement utilisées pour infecter les PC des internautes.
Par exemple dans les campagnes de virus en envoyant un fichier HTA malveillant se faisant passer pour une image, PDF ou autres.

Les téléchargements malveillants proposés sur internet. Par exemple, c’est le cas dans cette campagne : Trojan LNK, Trojan.VBS et Malware PowerShell : Exemple d’une campagne visant la France
Il s’agit d’un fichier VBS avec du code HTML intégrant du VBS malveillant.

Pour tromper les internautes, le fichier peut porter une double extension afin de tenter de se faire passer pour un document.
Plus d’informations : Extensions de fichiers masquées sur Windows et les problèmes de sécurité

Comment supprimer ou désactiver mshta.exe de son PC

Même s’il est possible de supprimer le fichier mshta.exe, étant donné qu’il s’agit d’un composant interne de Windows, il n’est pas conseillé de le supprimer.
Mais vous pouvez le désactiver en suivant les indications du paragraphe suivant.

• Téléchargez le fichier suivant :

Désactiver PowerShell, Mshta

• Double-cliquez sur le fichier ZIP puis sur Désactiver-Powershell-MSHTA-reg
• Puis cliquez sur Oui sur la fenêtre du contrôle des comptes utilisateurs (UAC)
• Enfin acceptez l’inscription des données
• PowerShell, Mshta sont alors désactivés de Windows

Liens

Comment protéger son PC des virus et pirates

• Les infections : Virus/Trojan
• Comment les Virus/Trojan sont distribués
• Comment désinfecter et supprimer les virus son PC
• Les Trojan RAT
• Désactiver Windows Script Host
• Comment désactiver PowerShell ou Mshta
• Protéger son PC des scripts (VBS, JS) malveillants sur Windows
• Comment se protéger des scripts malveillants sur Windows
• Sécuriser son ordinateur et connaître les menaces
• Ransomwares et Rançongiciels : Définition et comment s’en protéger
• Comment vérifier si ordinateur a été hacké ou piraté ?

• Les processus systèmes de Windows

L’article mshta.exe, fichier HTA et les malwares est apparu en premier sur malekal.com.