Il n’est pas viable de désactiver « JavaScript » alors il me semblait que Google notamment avait un remplaçant dans les cartons. Et JavaScript a été rendu indispensable mais il ne l’est pas. Depuis que JavaScript est partout c’est quand-même plus le bordel que quand d’autres solutions étaient utilisés. En revanche certains bloqueur de pubs bloque JavaScript et concernant les mails encore je n’ouvre un lien ou une pièce jointe quand je suis vraiment sûr de qui me l’envoie (sauf les adresses orange car elles sont piratés et revendu en interne depuis plusieurs années).
non pas du tout, je parlais en terme d’usage, de possibilité, de part de marché, d’ouverture du machin … 
C’est l’astuce de ce trojan justement, tu ne télécharge pas un exécutable qui peut être détecté mais c’est ta machine qui se charge de créer le code derrière un firewall, d’exécuter des commandes depuis la ligne de commande…