Jogos antigos marcados como infectados no Microsoft Defender: falsos positivos?

KairanD · 24 de outubro de 2024

Olá, pessoal!

Recentemente, fiz backup de alguns CDs de jogos antigos, da época da minha infância. Gerei arquivos .iso para mantê-los, mesmo que os CDs venham a estragar. Foram desenvolvidos para rodar no Windows 95, 98 ou XP.

Fiquei surpreso ao perceber que o Microsoft Defender (do Windows 11 Pro) detectou três deles como infectados. Um deles é o Irmão Urso, da Disney, proveniente da Revista FullGames (na época, era famosa e comercializada em lojas de brinquedos como a RiHappy). Outros dois são coletâneas de jogos mais simples da Revista Digerati, comercializada em bancas de revista. Ou seja, tecnicamente são programas originais, devidamente licenciados. Na época, as revistas de jogos eram bem famosas, já que a Internet no Brasil era incipiente e a Steam estava longe de existir.

Para ter certeza, realizei verificações atualizadas no Vírus Total. Estes são os resultados:

Irmao_Urso.iso: apontado como malicioso por 8/60 ferramentas. Algumas (menos conhecidas) indicaram trojan ou malware. O Kaspersky detectou, mas indicou "Not-a-virus:PSWTool.Win32.Hooker.a". Link da análise: https://www.virustotal.com/gui/file/9adb0235a9e1f8ade0ddf94bd1ee1fa24d8d300a217fca470d6d28215311c6b7
41_Jogos_Corrida_Digerati.iso: apontado como malicioso por 8/46 ferramentas. O único antivírus ali que realmente conheço é o ESET, que apontou "Win32/Agent.ONQ". Link da análise: https://www.virustotal.com/gui/file/cb35f65ad13a69a1467a0f598d7ef6af7993dff7d584d5e87f5e8cad2abae3ec?nocache=1
200_Jogos_Digerati.iso: apontado como malicioso por 18/51 ferramentas. As menos conhecidas indicaram trojan e outros. Das mais conhecidas, Avast e AVG indicaram "Other:Malware-gen [Trj]", Avira indicou "DR/Startpage.OZ.6", ESET indicou "Win32/StartPage.NBK" e Kaspersky indicou "Not-a-virus:HEUR:AdWare.Win32.DealPly.ge". Link da análise: https://www.virustotal.com/gui/file/d5fc3a0d4bf03f94faedf570193e3a302ef63a8233a7700a3e499c6e069f1fbd?nocache=1

Meu conhecimento sobre malwares é básico. Das análises acima, compreendi que, pelo visto, foram falsos positivos (e, no último caso, possivelmente adware). Inclusive, vale destacar que o Microsoft Defender não apontou infecções nas análises do Vírus Total.

Posso manter os arquivos com tranquilidade? Desde já, agradeço.

TheDemonLena · 24 de outubro de 2024

Ulá :3

Então, imagino que os falsos positivos estejam ligados diretamente a como os aplicativos rodavam antigamente. Fora que estão dando algumas dicas do que exatamente deve aparecer. Como a arquitetura em que eles foram projetados está defasada, é muito provável que os arquivos utilizados já tenham sido hackeados ou vazados seus códigos por aí, o que acabaria dando como vírus.

Na maioria, contanto que não esteja jogando em um Windows XP com acesso à internet, não há no que se preocupar. Dificilmente um computador será hackeado no Windows 10 ou 11, ainda mais por rede. No Windows XP, ai a história é outra.

Outro acaso, é que a arquitetura de seus componentes seja a mesma que vírus utilizam no momento, o que poderia ser bem capaz, por conta do tempo que existem. Fora isso, é apenas um falso positivo.

mick 07 · 24 de outubro de 2024

Se são originais, de um CD confiável, eu ficara despreocupado.

Me parecem falsos positivos: a) como são programas originais, a imagem ISO deve ter copiado alguma tipo de key, o que leva os antivírus a suspeitarem de algum programa que potencialmente faça leitura de chaves; b) se não me engano, não era incomum esses CDs oferecerem programas demo, ou até mesmo algum tipo de plugin de navegador etc., o que deve levar os antivírus a suspeitarem de adware.

E como você já percebeu, a maioria dos antivírus que fez a detecção nem é tão confiável assim, e os que são deixam claro que é mais provável ser falso positivo.

Fonte: as vozes da minha cabeça.

Shaman93 · 24 de outubro de 2024

Meu palpite é que o funcionamento desses jogos pode acabar sendo classificado, pelos padrões atuais, como 'adware' ou 'riskware', no sentido de rodar códigos desnecessários, com comportamentos suspeitos em termos de alterações no sistema/registro, permissão de nível de acesso ou conexão com a internet, por exemplo. Mas também não acho que sejam um risco real.

kgin · 24 de outubro de 2024

Já vendi muitos CDs de jogos e cursos da digerati, e eu posso confirmar que a maioria deles tem vírus.

A maior parte dos vírus que estão embutidos nos jogos não fazem nada com o windows atualmente, mas eu recomendo rodar em um sandbox para ter certeza.

A alguns anos atrás eu mantive contato com algumas editoras que vendiam esses CDs (eu vendia a mercadoria deles), e quase todos já confirmaram a existência de vírus nos CDs.

KairanD · 24 de outubro de 2024

Obrigado pelas respostas, pessoal. Para investigar mais a fundo, aqui estão os arquivos exatos que o Microsoft Defender detecta:

Irmao_Urso.iso: arquivo "setup\Bears\system\WinKeyHook.dll". Elemento: PUA:Win32/Occamy. Classificação: app potencialmente indesejado.
41_Jogos_Corrida_Digerati.iso: arquivos "Essenciais\DivX51Bundle.exe" (PUABundler:Win32/DivxBundler, classificação: app potencialmente indesejado) e "Jogos\gokart.exe->(ZipSfx)->gokart/class.exe" (Trojan:Win32/Sisproc!gmb, classificação: ameaça nível grave).
200_Jogos_Digerati.iso: arquivo "Cartas\pokemon\gate.exe". Elemento: Trojan:Win32/Jenix!rts. Classificação: ameaça nível alto.

Mr. Caio Augusto · 24 de outubro de 2024

Pela minha experiencia, mesmo que não tão avançada assim, trata-se de um falso positivo... como os colegas acima falaram, porém podem haver ressalvas ai e lhe explico o motivo:

Era comum antigamente CDs "demo" (demonstração), porém me recordo que alguns deles não haviam sequer a versão demo distribuída pelo criador do game e dai entravam estas empresas de CDs famosas e alteravam o game de forma bem estúpida, ou seja... simplesmente deletavam os mapas do arquivo raiz e o game não mostrava mais a continuidade. (simplesmente fechava o game) - Então estas empresas poderiam se utilizar de algum software de alteração de arquivo em que hoje é detectado como um malware... mas na verdade não são rssssssss

Eu já tive problemas uma vez com o NFS SE com o CD original do fabricante o antivírus acusar como falso positivo... simplesmente ignorei... depois de um tempo eu usei ele novamente e não tive problemas.

Enfim, são várias causas que podem causa isto, e mesmo que fosse um malware disfarçado no CDs, ele não iria sequer funcionar em sua máquina, então ficaria despreocupado.

Linio Alan · 25 de outubro de 2024

Resumo do que achei na Surface:

#Keylogger

Trojan:Win32/Sisproc!gmb

#Adware/PUA

PUA:Win32/Occamy

#Backdoor

Trojan:Win32/Jenix!rts

#Adware/PUA

PUABundler:Win32/DivxBundler

Desses os mais perigosos seriam o Keylogger e o Backdoor ainda mais combinados no mesmo host: faca e o queijo na mão do agente malicioso. Os demais sozinhos realmente não oferecem um risco real, embora potencial, são os famosos pé no...

Acho que o @kgin e o Windows Defender estão ambos corretos.

@KairanD só aplicar suas avançadas técnicas de criogenia "pinguinísticas" nesse backup e fica tudo numa boa aí.

kgin · 25 de outubro de 2024

Procurando em alguns dumps de CDs que tenho aqui eu encontrei alguns com "vírus".

Já que não pode postar o arquivo aqui (eu acho que não), então eu vou colocar uma imagem do arquivo com 2 cabeçalhos de execução.

No windows só pode existir um cabeçalho pe por arquivo.

Extrai o executável para checar o que era, mas estava corrompido.

Pelo jeito o arquivo foi corrompido pelo dep do windows xp, ele fazia isso com alguns executáveis suspeitos.

7 horas atrás, KairanD disse:

Obrigado pelas respostas, pessoal. Para investigar mais a fundo, aqui estão os arquivos exatos que o Microsoft Defender detecta:

Irmao_Urso.iso: arquivo "setup\Bears\system\WinKeyHook.dll". Elemento: PUA:Win32/Occamy. Classificação: app potencialmente indesejado.

41_Jogos_Corrida_Digerati.iso: arquivos "Essenciais\DivX51Bundle.exe" (PUABundler:Win32/DivxBundler, classificação: app potencialmente indesejado) e "Jogos\gokart.exe->(ZipSfx)->gokart/class.exe" (Trojan:Win32/Sisproc!gmb, classificação: ameaça nível grave).

200_Jogos_Digerati.iso: arquivo "Cartas\pokemon\gate.exe". Elemento: Trojan:Win32/Jenix!rts. Classificação: ameaça nível alto.

Seria interessante postar os arquivos para fazer uma analise melhor, mas como eu disse lá em cima provavelmente é contra as regras do fórum.

KairanD · 25 de outubro de 2024

Muito obrigado pela ajuda, pessoal!

No caso, esses elementos só seriam executados se os arquivos .iso fossem montados e os programas fossem instalados? Se eu apenas armazenar em um HDD de dados, eles podem se espalhar? Tenho vários arquivos importantes no mesmo disco.

Eu não gostaria de perder esses jogos, já que trazem muitas lembranças, mas também não quero correr riscos.

Linio Alan · 25 de outubro de 2024

Eu diria que funciona (ou deveria) como com a Justiça: à menos que provocada não deveria se pronunciar.

Dentro da .iso os arquivos estão inertes mas guardaria eles em algum backup na nuvem e outra cópia em algum HD externo e prefiro seguir só com o que não tenho com o que me preocupar armazenado na máquina principal.

Mas caso decida por deixar como está também não tem erro não, vai mais da paranóia de cada um mesmo.

mick 07 · 25 de outubro de 2024

O ideal seria, de fato, fazer uma análise dos arquivos, já que o colega acima diz que até mesmo esses CDs de revistas costumavam vir com malware -- algo que eu desconhecia.

Entramos, então, no tema de segurança digital, que é feita por meio de camadas, e a máxima de que "o usuário invariavelmente é o elo mais fraco", já que costuma fazer o que não deveria, a exemplo de armazenar arquivos potencialmente infectados.

Já que você não pode distribuir os arquivos pra análise, sob pena de violar direitos autorais, eu faria o que o Linio disse, deixaria armazenado separadamente, e ainda deixaria um aviso em .txt pra não correr risco de esquecer que o arquivo pode estar infectado -- vai que você deixa armazenado por anos e resolve usar um dia desses, aí vai da paranoia de cada um, como mencionado.

KairanD · 25 de outubro de 2024

@Linio Alan @mick 07 Obrigado pelas orientações.

Acho que farei o seguinte: o jogo do Irmão Urso, que é da revista FullGames, é confiável. Eu tenho muitas edições dessa revista (que era vendida em grandes lojas como Leitura, Saraiva e RiHappy) e apenas esse jogo teve tal detecção, sendo que foi de adware (inofensivo). Esse eu pretendo armazenar no disco, junto com os outros arquivos.

As duas coletâneas de jogos, provenientes da editora Digerati, vou compactar em um .zip criptografado e deixar no Google Drive para ver o que fazer depois. Assim me mantenho protegido, especialmente após o alerta do @kgin.

mick 07 · 25 de outubro de 2024

Já que já usou o Vírus Total, use também o serviço da Microsoft, pra que ver o que ele relata: https://www.microsoft.com/en-us/wdsi/filesubmission

KairanD · 25 de outubro de 2024

@mick 07 Eu não conhecia esse serviço, interessante. Mas, aparentemente, ele pede para logar na conta Microsoft (eu não tenho, instalei o Windows 11 com conta local).

KairanD · 27 de outubro de 2024

Instalei o Windows XP em uma máquina virtual para voltar a testar esses joguinhos. Cara, que nostálgico.

Eles funcionaram normalmente. Inclusive, eu passei muitos anos rodando esses jogos na infância, sempre com software antivírus no computador (na época, AVG free ou Avira free, geralmente, já que não tinha muito conhecimento), e não me lembro de ter qualquer problema que pudesse notar.

Outro fato que achei curioso: na minha máquina, o Microsoft Defender aponta essas infecções. Mas, no Vírus Total, o Microsoft Defender não detectou qualquer problema. Será por diferença na base de dados? Ou o processo de verificação do site é simplificado?

Mr. Caio Augusto · 27 de outubro de 2024

@KairanD

Esse é um dos efeitos do 'falso positivo' Isoladamente ele pode não ser detectado, mas quando na máquina host pode acusar.

Os sites verificam comportamentos isolados.

KairanD · 1 de novembro de 2024

Pessoal, resolvi fazer outro teste. Instalei o Kaspersky Free e verifiquei os arquivos problemáticos (além do meu disco de dados inteiro).

Como resultado, ele detectou, no meu disco de dados, que outro jogo (Locomotion) teria malware. Contudo, isso certamente é um falso positivo, pois estamos falando de um disco original, da Atari...

Quanto aos outros itens mencionados no tópico, ele apontou que nenhum deles continha malware, mas apenas elementos de gerenciamento de senhas e adware. Ou seja, deu sinais de alerta, mas não sinais vermelhos. Inclusive as detecções começavam com o mesmo texto do Vírus Total: "not-a-virus...".

Linio Alan · 1 de novembro de 2024

Isso me lembrou de um comparativo muito interessante "Kaspersky vs Window Defender" dá uma olhada:

O resultado final é o esperado mesmo, Kaspersky dando uma surra no WD em todos os aspectos quem diria.

Mas é aquela coisa, entre WD e nada melhor o WD :

mick 07 · 1 de novembro de 2024

Em 25/10/2024 às 14:43, mick 07 disse:

Entramos, então, no tema de segurança digital, que é feita por meio de camadas, e a máxima de que "o usuário invariavelmente é o elo mais fraco", já que costuma fazer o que não deveria, a exemplo de armazenar arquivos potencialmente infectados.

Até que seja feita uma análise detalhada, por alguém qualificado, creio que vai ser um risco que você vai ter que correr. Mas se está convicto e confia nos arquivos, vai em frente.

KairanD · 1 de novembro de 2024

@Linio Alan @mick 07 No caso, se for seguir a linha do Kasperksy, os arquivos não contêm, de fato, ameaças (e o Locomotion, único apontado como tal, certamente é falso positivo). O Microsoft Defender é que os aponta como tal.

Ou o Kaspersky está afrouxando na classificação ou o Defender está gerando falsos positivos...

Linio Alan · 1 de novembro de 2024

USA vs URSS - Nova Gerra Fria 2 - Modern Warfare Edition

Brincadeiras à parte Kaspersky tem indubitavelmente a melhor heurística e base de dados de assinaturas de malwares, sem comparação com WD aqui, como visto no comparativo do vídeo anterior fica claro isso.

Se houver ainda qualquer dúvida quanto à eficácia pura e simples entre os dois, o Kaspersky tem maior peso na minha humilde e singela opinião, tanto que eu próprio utilizei a versão Premium dele por uns bons anos.

Está tendo claro essa situação de cyberwarfare no mundo e infelizmente haverão embates político-ideológicos para os dois lados, mas aqui nesse contexto eu desconsidero isso totalmente apenas para constar.

Mas se for considerar isso, aí então meu amigo...