Recebeu um alerta do Windows Defender ao extrair um ficheiro ZIP? O nome genérico Trojan : Script/Sabsik.FL.A!ml pode assustar, mas com os passos certos é possível confirmar se tudo está limpo e reforçar a segurança do seu PC sem recorrer a formatações drásticas.
Entendendo a detecção “Trojan : Script/Sabsik.FL.A!ml”
Esta família de deteções é gerada por machine learning. Quando o motor heurístico identifica padrões de script ou macro potencialmente mal‑intencionados — mesmo que não exista assinatura específica — atribui‑lhes a designação “Sabsik”. O sufixo “FL.A!ml” indica que a decisão se baseou em IA e não numa única assinatura tradicional.
Por que o nível de gravidade mudou?
- Dentro do ZIP — O Defender vê apenas bytes comprimidos; classifica como baixa gravidade porque não é executável em estado encapsulado.
- Movido para a Reciclagem — Ao copiar ou mover, o motor reanalisa o conteúdo descomprimido. Agora lê o ficheiro tal como seria executado e, se os indicadores forem fortes, sobe para alta gravidade.
- Aprendizagem contígua — A cloud do Microsoft Defender recebe telemetria. Se durante a noite a classificação global desse hash piorar, o seu cliente atualizará a decisão local.
Como o Windows Defender bloqueia ameaças
Quando um ficheiro é marcado como Severidade Alta:
- Bloqueio em tempo real — Acesso negado antes de qualquer execução.
- Quarentena — O objeto é copiado para uma área protegida (
%ProgramData%\Microsoft\Windows Defender\Quarantine) e o original é removido. - Eliminação segura — Se escolher “Eliminar”, o item deixa de existir fisicamente. Só resta a entrada nos relatórios.
Se a ameaça não correu, não cria chaves de arranque, tarefas agendadas nem serviços. É por isso que duas análises completas limpas são normalmente suficientes para atestar que o sistema está seguro.
Check‑list prática para garantir a limpeza
| Ação | Objetivo | Detalhes rápidos |
|---|---|---|
| Limpar a Reciclagem e a Quarentena | Eliminar artefactos remanescentes | Abra o Windows Defender > Histórico de Proteção > Quarentena > Remover |
| Correr Análise Completa | Examinar todo o disco em modo normal | Configurações > Atualização e Segurança > Segurança do Windows > Proteção contra vírus |
| Executar Análise Offline | Neutralizar rootkits que escondem processos | Reinicia em ambiente mínimo e usa motor independente |
| Atualizar Windows e assinaturas | Receber o motor de deteção mais recente | Updates automáticos ativados? Confirme no Windows Update |
| Usar scanner de segunda opinião | Validar resultado com outro motor | Ex.: Malwarebytes Free (instalar, scan, desinstalar se não pretender manter) |
| Denunciar a amostra à Microsoft | Ajudar a treinar o modelo de IA | Enviar para wdsi filesubmission (sem link clicável) |
O que fazer se a ameaça reaparecer
Em 90 % dos casos, reaparições significam que:
- Sombra de Volume — O ficheiro estava em ponto de restauro. Apague pontos antigos se necessário.
- Sincronização cloud — Serviços como OneDrive re‑sincronizam o ZIP. Exclua o ficheiro na origem.
- Falso positivo — Software seguro mas ofuscado. Submeta-o à Microsoft para revisão.
Se o Defender não conseguir eliminar um item em uso, reinicie em Modo de Segurança ou repita a Análise Offline; estas opções carregam menos drivers e libertam bloqueios de ficheiros.
Dicas para evitar descargas suspeitas
- Prefira HTTPS — Sites sem encriptação são mais vulneráveis a substituições de ficheiro.
- Valide assinaturas digitais — Executáveis legítimos trazem certidões de código.
- Use perfis de utilizador restritos — Trabalhar sem privilégios de administrador limita o alcance de scripts.
- Ative a Proteção contra Ransomware — A funcionalidade controla pastas e bloqueia alterações não autorizadas.
- Desconfie de ficheiros protegidos por palavra‑passe — A encriptação impede que o antivírus inspecione antes da extração.
FAQ – Perguntas Frequentes
“Devo reinstalar o Windows para garantir?”
Não. Se o Defender bloqueou antes da execução e duas análises completas confirmam a limpeza, não há indicação de comprometimento. Reinstalar é medida extrema reservada a casos de infecção ativa ou indetectável.
“Posso manter dois antivírus residentes?”
Não é recomendado. Motores residuais em simultâneo competem por bloqueios de ficheiros, degradando desempenho e podendo anular proteções. Utilize um antivírus principal e, quando necessário, scanners de segunda opinião sob demanda.
“O que é a Análise Offline e quando usar?”
É um boot temporário num ambiente Windows PE minimalista. Corre o motor Defender isolado, sem drivers de terceiros, ideal para encontrar rootkits que se escondem durante o arranque normal. Execute quando:
- A mesma ameaça reaparece após limpeza;
- Há sintomas (redirecionamentos, serviços estranhos) mas as análises normais não detectam nada;
- O Defender sugere explicitamente após uma análise rápida.
Como funciona a quarentena por baixo do capô
Ao mover um ficheiro para quarentena o Defender:
- Cria uma cópia cifrada do objeto;
- Zera exclua atributos de alternate data streams que poderiam restaurar metadados;
- Regista a operação na base de dados interna (
MpThreatDetection) para que saídas de relatório no histórico sejam persistentes; - Marca a localização de origem para vigilância futura. Se um novo ficheiro com hash similar surgir, a ação predefinida passa a Bloquear imediatamente.
Boas práticas de recuperação pós‑incidente
Mesmo após confirmar a limpeza, aproveite para reforçar o ecossistema de segurança:
- Backups em 3‑2‑1 (três cópias, dois suportes, um offline);
- Política de palavra‑passe forte com MFA quando disponível;
- Desinstalar plugins de navegador obsoletos, frequente vetor de infiltração;
- Revisão de autorizações de aplicações em serviços cloud;
- Formação de utilizadores sobre análise de URL e antecipação de phishing.
Conclusão
Trojan : Script/Sabsik.FL.A!ml é uma etiqueta genérica que assinala código suspeito. Se o Windows Defender bloqueou o ficheiro antes da execução e as análises subsequentes confirmam “Nenhuma ameaça encontrada”, o risco ativo foi neutralizado. Siga a lista de verificação, mantenha o sistema atualizado e adote scanners de segunda opinião sempre que surgir dúvida. Com práticas preventivas consistentes, a sua máquina permanecerá resiliente contra este e outros vetores de ataque.