Windows Defender vient de signaler le cheval de Troie Trojan:Script/Sabsik.FL.A!ml après l’ouverture d’une archive ZIP ? Pas de panique ! Ce guide exhaustif explique comment neutraliser la menace, confirmer l’intégrité de votre système et renforcer durablement votre sécurité.
Comprendre l’alerte « Trojan:Script/Sabsik.FL.A!ml »
Le libellé Sabsik.FL.A!ml est un nom générique attribué par le moteur de protection cloud de Microsoft Defender à des scripts ou exécutables compressés qui tentent d’exécuter du code dissimulé : PowerShell obfusqué, VBScript dans un fichier CHM, JavaScript lancé par wscript.exe, etc. La détection repose sur des heuristiques ; elle peut donc :
- signaler de véritables malware conçus pour télécharger d’autres charges secrètes ;
- déclencher un faux positif sur un script d’automatisation ou un outil d’émulation considéré comme suspect.
Le niveau de gravité « sévère » impose de traiter la menace comme active jusqu’à preuve du contraire.
Chaîne d’infection : comment le trojan s’infiltre
Sabsik.FL.A!ml apparaît le plus souvent :
- dans des archives ZIP mises à disposition sur des forums ou services de partage ;
- en pièce jointe d’e‑mails d’hameçonnage dont l’expéditeur usurpe une marque de confiance ;
- via des crack logiciels ou des « cheats » pour jeux vidéo, fréquemment packagés avec des droppers obfusqués ;
- au travers de sites Web utilisant des publicités piégées (malvertising).
Dans tous les cas, le script malveillant cherche à se lancer en mémoire, contourner l’UAC, puis établir une connexion sortante pour télécharger la charge finale (stealer, ransomware, RAT).
Étapes immédiates après la détection
| Étape | Action recommandée | Pourquoi / Résultat attendu |
|---|---|---|
| 1 | Conserver la quarantaine ou supprimer l’élément via Windows Defender. | Empêche toute exécution du code malveillant. |
| 2 | Supprimer le ZIP original et vider la Corbeille. | Évite une réactivation accidentelle. |
| 3 | Effectuer une analyse complète puis une analyse hors ligne. | Détecte les menaces cachées avant le démarrage de Windows. |
| 4 | Mettre à jour les signatures Defender + exécuter Windows Update. | Les variantes récentes seront reconnues. |
| 5 | Contrôler les éléments de démarrage (Gestionnaire des tâches, shell:startup, Planificateur de tâches). | Supprime tout script qui tenterait de se relancer. |
| 6 | Exécuter un second scanner à la demande (Malwarebytes, ESET Online, etc.). | Réduit le risque de faux négatif. |
| 7 | Signaler l’URL ou le fichier à Microsoft Security Intelligence. | Participe à l’amélioration de la détection. |
| 8 | Sauvegarder régulièrement les données et adopter une hygiène numérique stricte. | Limite l’impact d’une éventuelle ré‑infection. |
Analyse avancée : confirmer qu’il ne reste aucune trace
1. Lancer l’analyse hors ligne Defender
Elle redémarre le PC dans un mini‑environnement isolé ; aucun malware ne peut se cacher derrière des processus système. Pour l’exécuter :
Paramètres Windows → Mise à jour et sécurité → Sécurité Windows
→ Protection contre les virus et menaces → Options d’analyse
→ Analyse Windows Defender hors ligne → Analyser maintenant2. Examiner l’Historique de protection
Après la suppression, l’événement reste visible ; cela ne signifie pas que le fichier est toujours présent. Vérifiez que l’état est « Quarantined » ou « Removed ».
3. Rechercher des clés d’autostart persistantes
> Press ⌃ Win + R, tapez powershell puis :
Get-CimInstance -ClassName Win32_StartupCommand |
Select-Object Name, Command, Location | Format-Table -AutoTout script inconnu pointant vers AppData ou Temp doit être supprimé après validation.
4. Inspecter les tâches planifiées
schtasks /Query /FO LIST /V | findstr /i /c:"AppData" /c:"Temp"Les malwares planifient volontiers une exécution toutes les 5 minutes ; effacez les entrées suspectes via l’interface « Planificateur de tâches ».
5. Contrôler les services et pilotes non signés
sc query state= all | findstr /i /c:"SERVICE_NAME"Coupez tout service récemment ajouté et non signé qui ne correspond pas à un logiciel légitime.
Analyse complémentaire avec un second moteur antivirus
L’utilisation ponctuelle d’un scanner tiers réduit la probabilité d’un faux négatif et permet d’obtenir un avis concordant ou divergent :
- Malwarebytes Anti‑Malware Free : efficace sur les adwares et PUAs.
- ESET Online Scanner : bases virales vastes, mode sans installation.
- Kaspersky Virus Removal Tool : très profond, mais un peu plus long.
Désactivez la protection temps réel de l’outil tiers s’il en propose une ; elle entrerait sinon en conflit avec Defender.
Examiner et nettoyer les éléments de démarrage
Gestionnaire des tâches
Onglet « Démarrage » : désactivez les entrées inconnues ou à impact élevé que vous n’utilisez pas.
Dossiers de démarrage utilisateur & global
shell:startup (démarrage utilisateur)
shell:common startup (démarrage tous les utilisateurs)Supprimez tout fichier .vbs, .js ou .lnk pointant vers un emplacement douteux.
Registre (avancé)
Ouvrez regedit et vérifiez :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\Run
Exportez la clé avant toute modification pour pouvoir revenir en arrière.
Mesures préventives à long terme
- Mettre à jour régulièrement Windows, les navigateurs, Java et .NET ; les failles connues sont exploitées dans les scripts Sabsik.
- Utiliser des comptes standard pour les activités quotidiennes ; réservez l’Admin aux installations.
- Désactiver l’autorun sur les supports amovibles via GPO ou Registre.
- Activer la protection « Contrôle d’application » (Smart App Control sous Windows 11) afin de bloquer les scripts non signés.
- Déployer des sauvegardes hors ligne (disque externe déconnecté ou cloud avec versionnage) pour annuler tout chiffrement malveillant.
Dépannage : questions fréquentes (FAQ)
« Defender continue d’afficher l’alerte même après suppression »
L’historique conserve l’événement. Cliquez sur « Protection History », sélectionnez l’événement et choisissez « Delete » pour effacer la notification.
« Analyse hors ligne impossible à lancer »
Vérifiez que Secure Boot est activé dans l’UEFI et que le disque n’est pas chiffré par un logiciel tiers qui empêche le redémarrage spécial.
« Le fichier était‑il forcément un malware ? »
Pas nécessairement. Les outils d’automatisation (scripts AutoHotkey, compilateurs d’EXE → SCR) déclenchent parfois Sabsik.FL.A!ml. Un second avis (VirusTotal, autre scanner) permet de statuer sur le faux positif.
« Comment analyser un script suspect manuellement ? »
# Décoder un script PowerShell obfusqué (exemple)
$code = Get-Content .\script.txt
[System.Text.Encoding]::UTF8.GetString(
[Convert]::FromBase64String($code -replace '[^A-Za-z0-9+/=]', '')
) | Out-File .\decoded.ps1 -Encoding utf8Ouvrez ensuite decoded.ps1 dans VS Code avec l’extension PowerShell pour comprendre le comportement.
Chemin d’apprentissage recommandé
- Se former aux bases de la threat hunting locale (Microsoft Defender Security Center).
- Suivre les « Microsoft Learn » modules dédiés à Windows Security (gratuits).
- Pratiquer des laboratoires virtuels (Any.Run, FLARE‑VM) pour reconnaître les patterns d’obfuscation.
Conclusion : votre système est‑il vraiment sain ?
Si Windows Defender a isolé puis supprimé l’archive, que l’analyse complète et surtout l’analyse hors ligne ne détectent plus rien, vous pouvez considérer votre PC comme sécurisé. Pour une assurance « zéro risque » :
- Relancez une sauvegarde fraîche de vos données critiques.
- Contrôlez manuellement les tâches planifiées et les clés « Run ».
- Maintenez Windows Defender à jour et gardez une solution de secours à la demande.
En adoptant ces réflexes, la probabilité qu’un variant de Trojan:Script/Sabsik.FL.A!ml persiste ou ressurgisse devient négligeable.