3. Jalankan File EXE dan Amati Perilakunya
Setelah file EXE berhasil dipindahkan ke Windows Sandbox, saatnya melakukan uji coba eksekusi untuk memeriksa potensi malware. Berikut cara menganalisis perilaku file dengan cermat:
A. Periksa Peringatan dari Windows Defender
- Double-click file EXE untuk menjalankannya.
- Amati notifikasi keamanan yang muncul.
Jika Windows Defender memunculkan peringatan merah (contoh: “This file contains a virus”), segera tutup program.
Jika tidak ada peringatan, lanjutkan pengamatan.
B. Cek Aktivitas Jaringan (Akses Internet Tanpa Izin)
- Buka Task Manager (Ctrl + Shift + Esc) > Tab “Details”.
- Cari nama proses dari file EXE yang dijalankan.
- Klik kanan proses > “Analyze wait chain” untuk melihat apakah file mencoba terhubung ke internet.
Jika ada alamat IP asing atau domain mencurigakan (contoh: 185.143.223.1), waspadai spyware/keylogger.
C. Identifikasi Proses Mencurigakan di Task Manager
- Sortir proses berdasarkan CPU/Memory usage.
- Waspadai jika:
- Muncul proses baru dengan nama acak (contoh: xvgthb.exe).
- Proses tetap berjalan setelah file EXE ditutup.
- Terdapat child processes aneh yang dijalankan otomatis.
D. Deteksi Perubahan Pengaturan Sistem
1. Monitor perubahan tak terduga seperti:
- File registry baru di HKEY_LOCAL_MACHINE.
- Modifikasi file sistem (cek via C:WindowsSystem32).
- Pengaturan firewall/Windows Defender tiba-tiba nonaktif.
2. Gunakan Process Explorer (tools Microsoft) untuk analisis lebih dalam.
E. Waspadai Instalasi Software Otomatis
1. Jika file EXE tiba-tiba membuka installer program lain (contoh: “Do you want to install XYZ Toolbar?”), segera:
- Batalkan proses.
- Tutup Sandbox (semua perubahan akan hilang).
2. Cek folder Program Files di Sandbox untuk melihat apakah ada software tak dikenal terinstall.
Tabel Ringkasan Tanda-Tanda Malware
Perilaku Mencurigakan | Potensi Ancaman | Tindakan |
Windows Defender memblokir file | Virus/ransomware terdeteksi | Hapus file |
Akses internet tanpa izin | Spyware/phishing | Putuskan koneksi |
Proses tersembunyi di background | Keylogger/miner | Terminate process |
Mengubah registry | Rootkit/persistent malware | Restore Sandbox |
Analisis Hasil dan Ambil Tindakan
Setelah menguji file EXE di Windows Sandbox, saatnya menganalisis hasilnya dan mengambil keputusan yang tepat. Berikut panduan lengkapnya:
Jika File Aman (Tidak Menunjukkan Tanda Bahaya)
1. Verifikasi Ulang
- Pastikan tidak ada peringatan dari Windows Defender atau antivirus lain.
- Cek kembali Task Manager untuk memastikan tidak ada proses mencurigakan yang masih berjalan.
2. Transfer File ke Sistem Utama (Jika Diperlukan)
- Jika file benar-benar aman, Anda bisa mengunduhnya ulang dari sumber resmi (lebih aman daripada memindahkan dari Sandbox ).
- Hindari copy-paste langsung dari Sandbox, karena fitur ini dirancang untuk isolasi, bukan transfer file.
3. Tetap Waspada Saat Menjalankan
- Jalankan file pertama kali di sistem utama dengan hak akses terbatas (non-administrator).
- Pantau aktivitasnya menggunakan Windows Defender atau alat pemantau seperti Process Explorer.
Jika File Bermasalah (Terdeteksi Malware atau Mencurigakan)
1. Segera Hentikan Pengujian
- Tutup semua proses terkait di Task Manager (jika masih berjalan).
- Matikan Windows Sandbox – Semua perubahan akan hilang secara otomatis.
2. Hapus File dari Sistem Utama
- Jika file tersimpan di Downloads atau folder lain, hapus permanen (Shift + Delete).
- Kosongkan Recycle Bin untuk memastikan file benar-benar terhapus.
3. Lakukan Full System Scan
- Gunakan Windows Defender Offline Scan (lebih efektif mendeteksi malware persisten).
- Alternatif: Pakai alat seperti Malwarebytes atau HitmanPro untuk pemeriksaan tambahan.
4. Laporkan File Mencurigakan (Opsional)
- Jika file berasal dari sumber yang seharusnya terpercaya (misal: situs resmi yang mungkin dibajak), laporkan ke Microsoft Defender SmartScreen atau VirusTotal.