2. Copie o arquivo EXE para o Windows Sandbox
Quando o Sandbox estiver ativo, a próxima etapa é mover o arquivo EXE que você deseja verificar para esse ambiente virtual.
1. Abra a caixa de areia do Windows
- Procure por “Windows Sandbox” no menu Iniciar e execute o aplicativo.
- A sandbox será aberta como um novo PC em uma janela separada.
2. Copie o arquivo EXE para a sandbox
- Método 1 (arrastar e soltar):
Abra a pasta onde o arquivo EXE está armazenado e arraste o arquivo para a janela Sandbox.
- Método 2 (copiar e colar):
Clique com o botão direito do mouse no arquivo EXE no sistema principal > Copiar e cole-o dentro da caixa de areia.
3. Certifique-se de que os arquivos sejam transferidos com sucesso
- Faça check-in do Sandbox do Explorador de Arquivos (geralmente armazenado na Área de Trabalho ou em Downloads).
- Se o arquivo não aparecer, repita o processo de cópia com um método alternativo.
Comemoração:
– Não clique duas vezes em um arquivo EXE no Sandbox antes de estar pronto para analisá-lo!
– Se o arquivo parecer suspeito (exemplo: nome aleatório, muito pequeno), é melhor excluí-lo imediatamente.
3. Execute o arquivo EXE e observe seu comportamento
Depois que o arquivo EXE for movido com sucesso para o Windows Sandbox, é hora de executar um teste para verificar se há malware em potencial. Veja como analisar cuidadosamente o comportamento do arquivo:
A. Verifique se há avisos do Windows Defender
- Clique duas vezes no arquivo EXE para executá-lo.
- Observe as notificações de segurança que aparecem.
Se o Windows Defender gerar um aviso vermelho (exemplo: “Este arquivo contém um vírus”), feche o programa imediatamente.
Se não houver aviso, continue a observação.
B. Verifique a atividade da rede (acesso não autorizado à Internet)
- Abra o Gerenciador de Tarefas (Ctrl + Shift + Esc) > guia “Details”.
- Procure o nome do processo do arquivo exe que está em execução.
- Clique com o botão direito do mouse no processo > “Analyze wait chain” para ver se o arquivo está tentando se conectar à Internet.
Se houver um endereço IP estrangeiro ou um domínio suspeito (exemplo: 185.143.223.1), esteja ciente de spyware/keyloggers.
C. Identifique processos suspeitos no Gerenciador de Tarefas
- Classifique os processos por uso de CPU/memória.
- Esteja ciente de:
- Um novo processo com um nome aleatório aparece (exemplo: xvgthb.exe).
- O processo continua a ser executado depois que o arquivo EXE é fechado.
- Existem processos filhos estranhos que são executados automaticamente.
D. Detecção de alterações nas configurações do sistema
1. Monitore alterações inesperadas, como:
- Um novo arquivo de registro no HKEY_LOCAL_MACHINE.
- Modifique o arquivo do sistema (verifique em C:\Windows\System32).
- As configurações do firewall/Windows Defender são desativadas repentinamente.
2. Use o Process Explorer (ferramentas da Microsoft) para uma análise mais profunda.
E. Cuidado com a instalação automática de software
1. Se o arquivo EXE abrir repentinamente outro instalador de programa (exemplo: “Deseja instalar a barra de ferramentas XYZ?”), imediatamente:
- Cancele o processo.
- Feche o Sandbox (todas as alterações serão perdidas).
2. Verifique a pasta Arquivos de Programas no Sandbox para ver se algum software desconhecido está instalado.
Tabela de resumo de sinais de malware
| Comportamento suspeito | Ameaças potenciais | Ação |
| O Windows Defender bloqueia arquivos. | Vírus/ransomware detectado | Excluir arquivos |
| Acesso não autorizado à Internet | Spyware/phishing | Desligar |
| Processos ocultos em segundo plano | Keylogger/minerador | Encerrar processo |
| Alterar o registro | Rootkit/malware persistente | Restaurar sandbox |