Перейти к содержанию

Возможно ли заражение устройства при открытии сообщения без вложения?


Lodegin

Рекомендуемые сообщения

Добрый день.

После прочтения информации о Carbanak'е возник вопрос, а возможно ли заражение устройства при открытии письма на электронной почте или сообщения (СМС или в Whatsapp и подобных), в котором нет ничего кроме текста, ни вложений, ни ссылок?

Если возможно, то есть ли возможность защититься от подобного с помощью антивирусов?

Сообщение от модератора Soft
Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"

 

Ссылка на комментарий
Поделиться на другие сайты

Вопрос с подвохом.

 

Возможно ли _заражение_ от plain text? Ну, почти наверняка — нет.

Возможна ли _атака_ от plain text? Да, конечно. Популярное развлечение — перезагружать телефоны, отправив сообщение с юникодными символами, которые приложение или сама ОС неправильно разбирают.

Возможно ли _заражение_ от того, что прикидывается plain text? Выглядит как plain text, отображается как plain text, но им не является. Да, конечно.

Ссылка на комментарий
Поделиться на другие сайты

18 часов назад, Umnik сказал:

Возможно ли _заражение_ от того, что прикидывается plain text? Выглядит как plain text, отображается как plain text, но им не является. Да, конечно.

То есть чисто теоретически часть символов в сообщении может быть заменены на блоки с кодом вируса, но при этом они будут отображаться как обычные символы, а триггером для срабатывания вируса будет открытие сообщения. Я правильно понял?

Но разве в этом случае не появится значок около письма, сообщающий о наличии вложения?

Ссылка на комментарий
Поделиться на другие сайты

Нет. Это будут самые обычные символы за пределами ASCII, что вызовет срыв башни у операционной системы. Например, она не сможет обработать букву "ё". Ты напишешь "Я пришёл" и отправишь человеку, а у него телефон из-за этого перезагрузится. И будет теперь перезагружаться всякий раз, когда он будет входить в свой SMS клиент, потому что там в списке всех сообщений пишется предварительный просмотр всех последних сообщений и там будет та же буква "ё".

 

И вот я сейчас вообще не шучу. Утрирую только именно про ё. Но всякая арабская вязь и всякие иероглифы уже несколько лет успешно выводят смартфоны из строя и окончательного решения этого вопроса не видно.

 

К слову, вот это тоже корректный текст, но он вполне может причинить боль программе, которая его пытается отобразить:

 

К̴̜͖̜̗̿̅̀̏̚ ̷̛̜̟͕̣͕̐̍̀с̷̲̰̬̏͌л̴̛̛͓̗́͌̒͝о̵̡͙͒̀͐̚͝в̶̳̭̻͉͈̂̈͂̓у̸̛̻̍́̕,̸̘͈̤͇̻͌͌̉̓̈́ͅ ̸̨̘̠̰̩̏̈́͗̽̾ͅв̷̡̢͇̙̺̇̋͛̅̓̈́о̵̛̝̣̰̬̅͐͌͌̿т̴͙̭̻͝͝ ̴̰̩̟̤͆̋э̷̯̔̊͋̎͆̅т̵͓̱̲̞͖͚̐̋͠о̸̝̼̋̽ ̶̙̺͈̼͕̐̇̊͆͝т̸͈̘̀́͒̎̍͌͜о̶̡̖͚̼͎͑̉̑̆͌ӝ̶̢̰̮е̷̹̜͓̂͠ ̸͙̭͙̫̍к̵͓͋̐̇̃̉̔о̶̩̭̦̞̀͊͜р̸̨̹͕͈̱̍̾̀̌̈́͜р̵̠̮͈̤̆̀̈е̶̻̭̖̥͓̓͑̕ͅк̶̮͔̣͓̘̬̊͝т̸̮̞̐̈̊͂̀́н̵̣͔̘̼̍̈́͛̑̔͘͜ы̶̜̮̥̪̤͊͝й̵̥̻̐ ̴͔̻̘̥͕͖͆̌̐т̷͇̦̰͒е̶̟̰̒̔͘͜к̶͔̃̚͘с̸̡̬̖̌т̴̪̮̤̲̭̮̓̅̾,̵̫͍̞̜̀ ̷̛̞̠͎͈̍͗̈́͜н̷̖̳̬̪̬̒͊͗̈̾̈́о̵̡̲̬̹̤̫͛̈̋͘ ̵̤̮̬̀̄̐̒̽о̸̫̩̽͊̿͘͜͝н̸̗͕̟̝͉̪̕ ̴͎͔̅̉̕в̵̧͙̦̤̩͆͑͑̌͑̕п̸̧͉͔̱̻̼͆о̶̠̰̔͆͐̅͠л̵̧̡͉̞͉͚͂̂͋н̵̛̠͓̠͉̐̀̈́͑̚е̶̫̎̽̈́̓ ̸̢̛̯̗̌ͅͅм̶̦͕̓̀о̵̣̠̀̄̔͂̇͂ж̴͕̭̫͉̓ѐ̸̧̦т̴̡̞̰͉͎͐ ̶̡̳̞̇̔͑̅͑ͅп̵͙͈̖͑̉̊̏р̶̻̲͇͉͛̐̉̕͠͠и̸̖̯̣̎͌͌ч̷̤͙̖̅̅и̶̼̏́́̄̾̉н̵̰̒̓͘ӣ̶̢̥̼͛̍т̷̧̮͌̕ь̶̧̥͚͎̗̆́̂̈́͘ ̷̪͔͆̀б̸͔͈̣̃̐̓о̴̳̭̦͇͆̏̇л̷̧̽̀̑͠ь̷̣͇̮͚͍̀́͒́͛͜ ̸̹̀̏п̵̺̩͎͎́̔̆̍̅р̸̤̮͙̄̀̀̓̔̚о̴̙̾̅̋͋̏г̸̣̒̍͌̅р̸̜͕͖̲̯̀̑͆̅ӑ̸͍̝͚̇̌͝м̴̧̲̼̝͠м̴̨̞̗͖̊̑̈́̓̾͜ͅе̷̺̟̗͕̇͂̽̎̒͗,̸͉͚͎̦̾̀̆̉̐́ ̴̬͍̩̰̼́̊̓͐͋̇ͅк̷̭͚͐̌͛̽̎о̸̧̬̣͈̰̆́͐͜т̷̥̰͛̐ӧ̴̨̖͈͇̦͓́̔̈̋р̸̯̫̾а̵̱̘͙̑͌̾̃̐͝я̸̛̦͔͚̹̘͂̌͠ͅ ̴͚̲̆̄̍̿͜ё̷̪̪̭̲̞͐̎͗͠г̷̧̮̩͓̬͈̑̄ӧ̶̣͈͙̱̟́͂͋̽̎͝ ̵̠͚͚̈́̉п̴̟̣̰̈́ы̶̢͈͍̫̽̑̽т̷͉̐̈́̚а̸̯̠̤̓́̋е̵̢͙̜̌̎͠ͅт̵̰̥͆̾̌с̷̮̿̕̚я̸͓̺͍̚ ̶̢̢̙̮̐̈́͗́̐̏о̸̣̙̒̓͋т̶͖͖̼̘̿͘о̵̧̢̛͙͆̏͝б̴̖͎̗̟̼͌̈̏̿͋͝р̴͙̭̹̳̖͍͗͆́̋͝а̸̖͔͈͎̀̑͌͗͗͝з̸̡̲̰̇̀̄͒̅͘и̸̼̟̞͔̥̓т̶̰̹̙͔̲́ь̵̧̛̠̈̌͊̆͂ͅ.̶̪̳̍̿̈

 

Здесь нет ничего необычного. Здесь самые обычные символы юникода.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Umnik сказал:

... что вызовет срыв башни у операционной системы. ... Но всякая арабская вязь и всякие иероглифы уже несколько лет успешно выводят смартфоны из строя и окончательного решения этого вопроса не видно.

Технически это не является заражением устройства, да и решить это можно, попросив человека направить нормальное сообщение, а потом удалить ветку диалога полностью.

Мой же вопрос был именно о заражении трояном, червем, блэкдором и иными вирусными элементами через сообщения без вложений и гиперссылок.

Ссылка на комментарий
Поделиться на другие сайты

Ну я же написал, что это не заражение, а атака. К тому же это может быть одно из звеньев цепочки атак, которые в конечном счёте приведут к внедрению вредоносного ПО. Ну и ещё раз повторю, что-то может выглядеть как просто текст но не являться им. Например, приложение по какой-то причине не способно корректно отобразить аттач, хотя он есть и способен запускаться. Тогда это будет выглядеть как аттача нет, а он уже сработал.

 

Просто буковки не могут нанести вред. То, что из этих буковок получилось — может. Говорю же, вопрос с подвохом. Ответ на него не такой очевидный и содержит много "если".

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, Umnik сказал:

Говорю же, вопрос с подвохом. Ответ на него не такой очевидный и содержит много "если".

Ну я никакого подвоха не подразумевал. Только обычный текст по типу "Как дела", "чем занят" и прочие обыденные или не очень предложения.

10 часов назад, Umnik сказал:

Просто буковки не могут нанести вред. То, что из этих буковок получилось — может.

Вот в том и вопрос, как обычные символы составленные в текст могут нанести вред? Точнее даже, а возможно ли внедрить в код символа инородный код, чтобы он еще и передаться смог? Ведь по сути у каждого устройства есть своя библиотека символов, в которой каждому соответствует свой идентификационный номер, а внедрение инородного кода в этот номер приведет к тому, что другие устройства просто не поймут что это, и как это обрабатывать.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 месяца спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • User-01001
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • asmonekus
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Kachura
      Автор Kachura
      Доброго дня.
      Возможно вы сможете мне помочь, на текущий момент удалось определить тип шифровальщика "Proton", хотя аббревиатура нигде такая не встречается, но текстовка и стиль шифрования один.
      Спасибо 
      #HowToRecover.txt Addition.txt arh.rar FRST.txt
    • infobez_bez
      Автор infobez_bez
      Здравствуйте
      интересует такой вопрос:
      Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
      Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.
       
      В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).

      Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.
       
      Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".

      В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.
       
      Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
      Используется KSC 14.2 для Windows
    • Yaasa
      Автор Yaasa
      сидел в компе и касперский начал часто выдавать сообщение запрещено при заходе в антивирус это :
      ложное ли это срабатывание или вирус?
       


×
×
  • Создать...