Какие действия могут выполнять вирусы

Обновлено: 19.04.2024

Здоровье — высшая ценность, даже если мы привыкли пренебрегать ею из-за работы и других нагрузок. Согласитесь, бывают ситуации, в которых лучше перестраховаться. Что нужно знать о профилактике инфекций, как рассказать о нужных мерах ученикам? Все это совсем не сложно, к тому же, мы собрали материалы в одной статье.

Как следует из текста документа, помимо измерения температуры на входе в школу и дезинфекционного режима, в школах введут дополнительные ограничения, направленные на минимизацию контактов между учащимися. Учителя в каждой отдельной организации уже получили от руководства инструкции, как будет организован учебный процесс в их школе. В зависимости от количества учащихся и возможностей педагогического состава, они различаются, но сводятся к единым идеям: меньше учеников в классе, меньше передвижений по школе, сокращение дополнительных занятий и массовых мероприятий.

Меры профилактики вирусных инфекций

  • мыть руки;
  • носить маску;
  • ограничить контакт с заболевшими лицами;
  • при малейших признаках недомогания обращаться к врачу.

Как правильно мыть руки?

  1. До, во время и после приготовления пищи.
  2. Перед едой.
  3. После контакта с людьми в общественных местах.
  4. После контакта с предметами в общественных местах (стол, поднос, поручень, лестница, столб, скамейка и т. д).
  5. До и после лечения пореза или раны.
  6. После использования туалета.
  7. До и после того, как вы меняли подгузник ребенку или ухаживали за ним.
  8. После сморкания, кашля или чихания.
  9. После прикосновения к животному, корму или экскрементам животных.
  10. После того, как касались мусора.

Мойте руки правильно!

Для обеспечения максимальной безопасности рекомендуется пользоваться одноразовыми бумажными полотенцами.

Еще можно выполнять следующие 5 шагов каждый раз:

Как дезинфицировать руки?

Будем объективны, у вас не всегда может быть доступ к крану с водой. В этом случае используйте дезинфицирующее средство для рук на спиртовой основе (не менее 60% спирта). Такое средство продается в маленьких пузырьках по 50 мл., либо в больших — до литра, в аптеках и магазинах косметики можно найти спиртовые салфетки.

Дезинфицирующие средства могут быстро уменьшить количество микробов на руках во многих ситуациях. Тем не менее, они не избавляют от всех видов микробов (пусть на них и написано 99,9%). К тому же, дезинфицирующие средства могут быть не такими эффективными, когда руки заметно грязные или жирные. В этом случае сначала необходимо вымыть руки, а потом уже наносить гель. И еще: санитайзеры для рук могут не удалять вредные химические вещества, такие как пестициды и тяжелые металлы. Надеемся, вы и ваши ученики с таким не сталкиваются.

Как пользоваться дезинфицирующим средством для рук:

  1. Нанесите гель на ладонь одной руки (прочитайте этикетку, чтобы узнать правильное количество);
  2. Потрите руки друг о друга;
  3. Втирайте гель по всей поверхности рук и пальцев, пока кожа не высохнет. Это должно занять около 20 секунд.

Как правильно носить маску?

Обратите внимание:

Если вы НЕ больны, вам не нужно носить лицевую маску все время, за исключением нахождения в группах с плотным скоплением людей (менее 1,5м.). Носить ее нужно, если был риск заражения, но пока симптомы не появились, а так же, если вы не ухаживаете за больным.
Маски для лица могут быть в дефиците, но они должны быть предоставлены лицам, обеспечивающим уход, в медицинских центрах.

Как правильно вести себя в общественных местах?

  1. Избегайте тесного контакта.
  2. Избегайте тесного контакта с больными людьми. Когда вы заболели, держитесь на расстоянии от других, чтобы они тоже не заболели.
  3. В магазинах не подходите близко к толпе, старайтесь не приходить в общественные места в час пик, чтобы не оказаться в очередях или плотном скоплении.

Оставайтесь дома, когда вы больны.

Если возможно, оставайтесь дома, не ходите на работу, не ходите в школу и не выполняйте поручения. Это поможет предотвратить распространение вашей болезни на других. Более того, это поможет не разболеться вам: тепло и покой — не просто просьбы врачей, это их требование!

Если вы болеете гриппоподобным заболеванием, CDC (Centers foe Disease Control and Prevention) рекомендует вам оставаться дома не менее 24 часов после того, как у вас поднимется температура, за исключением случаев, когда вам требуется медицинское обслуживание или другие предметы первой необходимости. Как понять, что вы не представляете опасности? Температура должна исчезнуть в течение 24 часов без применения жаропонижающего лекарства.

Закройте рот и нос

При кашле или чихании прикрывайте рот и нос салфеткой. Можете чихнуть в сгиб локтя, но никак не в сторону и вниз — капли ваших жидкостей могут передаться окружающим. Грипп и другие серьезные респираторные заболевания, такие как респираторно-синцитиальный вирус (RSV), коклюш и тяжелый острый респираторный синдром (SARS), передаются от кашля, чихания или нечистых рук.

Дезинфицируйте руки карманным средством после контактов в общественных местах.

Не прикасайтесь к своим глазам, носу или рту.

Практика других здоровых привычек

Чистите и дезинфицируйте часто использующиеся поверхности дома, на работе или в школе, особенно когда кто-то болен. К ним относятся: столы, дверные ручки, выключатели, столешницы, телефоны, клавиатуры, туалеты, смесители и раковины, телефоны.

Высыпайтесь, будьте физически активными, контролируйте стресс, пейте много жидкости и ешьте питательную пищу. Даже статистика коронавируса показывает, что в зоне риска — люди с пониженным иммунитетом. Пора поднимать его всеми способами.


Обзор

Автор
Редакторы

Обратите внимание!

Спонсоры конкурса: Лаборатория биотехнологических исследований 3D Bioprinting Solutions и Студия научной графики, анимации и моделирования Visual Science.

Эволюция и происхождение вирусов

В 2007 году сотрудники биологического факультета МГУ Л. Нефедова и А. Ким описали, как мог появиться один из видов вирусов — ретровирусы. Они провели сравнительный анализ геномов дрозофилы D. melanogaster и ее эндосимбионта (микроорганизма, живущего внутри дрозофилы) — бактерии Wolbachia pipientis. Полученные данные показали, что эндогенные ретровирусы группы gypsy могли произойти от мобильных элементов генома — ретротранспозонов. Причиной этому стало появление у ретротранспозонов одного нового гена — env, — который и превратил их в вирусы. Этот ген позволяет вирусам передаваться горизонтально, от клетки к клетке и от носителя к носителю, чего ретротранспозоны делать не могли. Именно так, как показал анализ, ретровирус gypsy передался из генома дрозофилы ее симбионту — вольбахии [7]. Это открытие упомянуто здесь не случайно. Оно нам понадобится для того, чтобы понять, чем вызваны трудности борьбы с вирусами.

Из давних письменных источников, оставленных историком Фукидидом и знахарем Галеном, нам известно о первых вирусных эпидемиях, возникших в Древней Греции в 430 году до н.э. и в Риме в 166 году. Часть вирусологов предполагает, что в Риме могла произойти первая зафиксированная в источниках эпидемия оспы. Тогда от неизвестного смертоносного вируса по всей Римской империи погибло несколько миллионов человек [8]. И с того времени европейский континент уже регулярно подвергался опустошающим нашествиям всевозможных эпидемий — в первую очередь, чумы, холеры и натуральной оспы. Эпидемии внезапно приходили одна за другой вместе с перемещавшимися на дальние расстояния людьми и опустошали целые города. И так же внезапно прекращались, ничем не проявляя себя сотни лет.

Вирус натуральной оспы стал первым инфекционным носителем, который представлял действительную угрозу для человечества и от которого погибало большое количество людей. Свирепствовавшая в средние века оспа буквально выкашивала целые города, оставляя после себя огромные кладбища погибших. В 2007 году в журнале Национальной академии наук США (PNAS) вышла работа группы американских ученых — И. Дэймона и его коллег, — которым на основе геномного анализа удалось установить предположительное время возникновения вируса натуральной оспы: более 16 тысяч лет назад. Интересно, что в этой же статье ученые недоумевают по поводу своего открытия: как так случилось, что, несмотря на древний возраст вируса, эпидемии оспы не упоминаются в Библии, а также в книгах древних римлян и греков [9]?

Строение вирусов и иммунный ответ организма

Дмитрий Ивановский и Эдвард Дженнер

Рисунок 1. Первооткрыватель вирусов Д.И. Ивановский (1864–1920) (слева) и английский врач Эдвард Дженнер (справа).

Строение ВИЧ

Почти все известные науке вирусы имеют свою специфическую мишень в живом организме — определенный рецептор на поверхности клетки, к которому и прикрепляется вирус. Этот вирусный механизм и предопределяет, какие именно клетки пострадают от инфекции. К примеру, вирус полиомиелита может прикрепляться лишь к нейронам и потому поражает именно их, в то время как вирусы гепатита поражают только клетки печени. Некоторые вирусы — например, вирус гриппа А-типа и риновирус — прикрепляются к рецепторам гликофорин А и ICAM-1, которые характерны для нескольких видов клеток. Вирус иммунодефицита избирает в качестве мишеней целый ряд клеток: в первую очередь, клетки иммунной системы (Т-хелперы, макрофаги), а также эозинофилы, тимоциты, дендритные клетки, астроциты и другие, несущие на своей мембране специфический рецептор СD-4 и CXCR4-корецептор [13–15].

Генетическая организация ВИЧ-1

Одновременно с этим в организме реализуется еще один, молекулярный, защитный механизм: пораженные вирусом клетки начинают производить специальные белки — интерфероны, — о которых многие слышали в связи с гриппозной инфекцией. Существует три основных вида интерферонов. Синтез интерферона-альфа (ИФ-α) стимулируют лейкоциты. Он участвует в борьбе с вирусами и обладает противоопухолевым действием. Интерферон-бета (ИФ-β) производят клетки соединительной ткани, фибробласты. Он обладает таким же действием, как и ИФ-α, только с уклоном в противоопухолевый эффект. Интерферон-гамма (ИФ-γ) синтезируют Т-клетки (Т-хелперы и (СD8+) Т-лимфоциты), что придает ему свойства иммуномодулятора, усиливающего или ослабляющего иммунитет. Как именно интерфероны борются с вирусами? Они могут, в частности, блокировать работу чужеродных нуклеиновых кислот, не давая вирусу возможности реплицироваться (размножаться).

Вирус Эбола

Причины поражений в борьбе с ВИЧ

Тем не менее нельзя сказать, что ничего не делается в борьбе с ВИЧ и нет никаких подвижек в этом вопросе. Сегодня уже определены перспективные направления в исследованиях, главные из которых: использование антисмысловых молекул (антисмысловых РНК), РНК-интерференция, аптамерная и химерная технологии [12]. Но пока эти антивирусные методы — дело научных институтов, а не широкой клинической практики*. И потому более миллиона человек, по официальным данным ВОЗ, погибают ежегодно от причин, связанных с ВИЧ и СПИДом.

Схема развития феномена ADE

Подобный вирусный механизм характерен не только для ВИЧ. Он описан и при инфицировании некоторыми другими опасными вирусами: такими, как вирусы Денге и Эбола. Но при ВИЧ антителозависимое усиление инфекции сопровождается еще несколькими факторами, делая его опасным и почти неуязвимым. Так, в 1991 году американские клеточные биологи из Мэриленда (Дж. Гудсмит с коллегами), изучая иммунный ответ на ВИЧ-вакцину, обнаружили так называемый феномен антигенного импринтинга [23]. Он был описан еще в далеком 1953 году при изучении вируса гриппа. Оказалось, что иммунная система запоминает самый первый вариант вируса ВИЧ и вырабатывает к нему специфические антитела. Когда вирус видоизменяется в результате точечных мутаций, а это происходит часто и быстро, иммунная система почему-то не реагирует на эти изменения, продолжая производить антитела к самому первому варианту вируса. Именно этот феномен, как считает ряд ученых, стоит препятствием перед созданием эффективной вакцины против ВИЧ.

Макрофаг, инфицированный ВИЧ-1

Открытие биологов из МГУ — Нефёдовой и Кима, — о котором упоминалось в самом начале, также говорит в пользу этой, эволюционной, версии.

Мембрана макрофага и ВИЧ

Сегодня не только ВИЧ представляет опасность для человечества, хотя он, конечно, самый главный наш вирусный враг. Так сложилось, что СМИ уделяют внимание, в основном, молниеносным инфекциям, вроде атипичной пневмонии или МЕRS, которыми быстро заражается сравнительно большое количество людей (и немало гибнет). Из-за этого в тени остаются медленно текущие инфекции, которые сегодня гораздо опаснее и коварнее коронавирусов* и даже вируса Эбола. К примеру, мало кто знает о мировой эпидемии гепатита С, вирус которого был открыт в 1989 году**. А ведь по всему миру сейчас насчитывается 150 млн человек — носителей вируса гепатита С! И, по данным ВОЗ, каждый год от этой инфекции умирает 350-500 тысяч человек [33]. Для сравнения — от лихорадки Эбола в 2014-2015 гг. (на состояние по июнь 2015 г.) погибли 11 184 человека [34].

* — Коронавирусы — РНК-содержащие вирусы, поверхность которых покрыта булавовидными отростками, придающими им форму короны. Коронавирусы поражают альвеолярный эпителий (выстилку легочных альвеол), повышая проницаемость клеток, что приводит к нарушению водно-электролитного баланса и развитию пневмонии.

Воссозданный вирус H1N1

Рисунок 8. Электронная микрофотография воссозданного вируса H1N1, вызвавшего эпидемию в 1918 г. Рисунок с сайта phil.cdc.gov.

Почему же вдруг сложилась такая ситуация, что буквально каждый год появляются новые, всё более опасные формы вирусов? По мнению ученых, главные причины — это сомкнутость популяции, когда происходит тесный контакт людей при их большом количестве, и снижение иммунитета вследствие загрязнения среды обитания и стрессов. Научный и технический прогресс создал такие возможности и средства передвижения, что носитель опасной инфекции уже через несколько суток может добраться с одного континента на другой, преодолев тысячи километров.


Обзор

Авторы
Редакторы


Генеральный партнер конкурса — ежегодная биотехнологическая конференция BiotechClub, организованная международной инновационной биотехнологической компанией BIOCAD.

SkyGen

Спонсор конкурса — компания SkyGen: передовой дистрибьютор продукции для life science на российском рынке.

Чтобы защитить нас от опасных заблуждений, давайте разберемся:

  • как устроен вирус ;
  • зачем вирусу попадать в организм человека;
  • как иммунитет реагирует на вирусы;
  • как медицина может помочь иммунитету, если сам он не справляется.

В статье речь идет в основном о новом коронавирусе. — Ред.

Видео. Вирусы и иммунитет: кто кого?

Как устроен вирус

Человек состоит из клеток, в которых очень важную роль играют белки. В ядре клетки хранится ДНК: все вы, наверное, видели картинки с этими переплетенными нитями из разноцветных кусочков.

Вирусы и иммунитет: кто кого?

Кусочки эти одинаковые у всех: и у людей, и у животных, и у растений, и у вирусов. Именно последовательность кусочков ДНК определяет особенности белков в нашем организме, а значит, влияет на наш внешний вид, работу органов и состояние здоровья.

Чтобы разобраться, как клетки производят белки, давайте представим следующее.

Допустим, вы производите посуду. Суперценный образец хранится в сейфе, и вы не готовы вынимать свой эталон из сейфа, даже чтобы сделать новый экземпляр. Поэтому специальный человек прямо в сейфе делает слепок кружки и приносит этот слепок рабочим, которые изготовят новую кружку по форме, получая от курьеров необходимые кусочки материала.

Вирусы и иммунитет: кто кого?

В ядре клетки, как в сейфе, хранится ДНК. С помощью белков-ферментов с ДНК снимается копия — информационная РНК. РНК попадает в рибосому, где начинается сборка белка. А транспортная РНК подносит фрагменты, из которых и собираются белки .

Вирусы и иммунитет: кто кого?

Так работает производство белка не только у человека, но и у многих других живых существ.

Все они адаптируются к среде, как могут, чтобы выжить и дать потомство. Человек тоже приспособился, и в этом ему сильно помог головной мозг. Он позволил ему придумывать приспособления для выживания и передавать информацию другим людям. Благодаря обмену знаниями и их накоплению человек может жить очень долго, потому что поселился в прочных зданиях, изобрел множество приспособлений и научился справляться с болезнями [1].

Раньше людям с рождения угрожали хищники, погодные катаклизмы, огромное количество вирусов и бактерий. Оспа, чума, грипп, малярия, бешенство, энцефалит, столбняк — люди умирали сотнями и тысячами и от эпидемий, и от банальных царапин. Но благодаря достижениям медицины мы научились лечить и предотвращать многие из них [2], [3].

Сейчас может показаться, что этих угроз вообще никогда не существовало. А если окажется, что они существуют до сих пор, очень хочется обвинить кого-нибудь в их создании, как будто они сами не могли появиться из природы. Но вообще-то могли.

Зачем вирусу попадать в организм человека

Вирус отличается от других живых организмов, потому что не питается, не выдает отходы жизнедеятельности, не стареет (вокруг вирусов до сих пор идет дискуссия, стоит ли их вообще считать формой жизни). Но, как и мы, вирус размножается и может умереть. Вирус похож на флешку: снаружи оболочка с шипиками-разъемами для подключения, а внутри информация (ДНК или РНК).

Вирусы и иммунитет: кто кого?

С помощью шипиков вирус пытается попасть внутрь клетки организма, как флешка пытается подключиться к компьютеру. Если все получилось, вирус забирается внутрь, раздевается и начинает диверсию [4].

Если у вируса внутри ДНК, он контрабандой доставляет ее в ядро, запускает копирование этой ДНК, создание РНК и далее по порядку. Если это РНК, он просто подменяет родную РНК клетки на свою [5].

В обоих случаях клетка делает белки не для себя, а для новеньких вирусов.

Вирусы и иммунитет: кто кого?

Когда клетка изжила весь свой ресурс, она лопается. Оттуда прут детки-вирусы, которые с помощью своих шипиков проникают в другие клетки, и процесс повторяется [6], [7].

Как иммунитет реагирует на вирусы

Итак, в организм ворвался чужак, использует наши клетки. Организм должен как-то отреагировать.

Иммунная система как раз отвечает за способность человека противостоять внешним угрозам. Как происходит иммунная реакция именно на вирусы?

Ключевые иммунные клетки — это фагоциты, B-лимфоциты , T-хелперы и T-киллеры.

Латинская буква B происходит от латинского названия bursa fabricii — иммунного органа птиц, в котором их впервые обнаружили.

Вирусы и иммунитет: кто кого?

Когда вирус попадает в клетку, та выставляет на поверхности сигнал о том, что она болеет. На этот сигнал тревоги приходят T-киллеры и фагоциты и пытаются уничтожить зараженные клетки и вирусы.

Вирусы и иммунитет: кто кого?

По пути фагоциты хватают сигнальную метку и передают ее T-хелперам. Это клетки-курьеры, которые отправляют полученный материал на изучение B-лимфоцитам. Они разрабатывают специальное оружие против вирусов и зараженных клеток — антитела. Антитела, как черная метка, цепляются за пораженную клетку, и T-киллеры могут быстрее ее обнаружить.

Вирусы и иммунитет: кто кого?

Если метка зацепилась за вирус, на сигнал приходит еще одно оружие — система комплемента, похожая на гранату, которая срабатывает, если два кусочка гранаты соединить вместе.

Вирусы и иммунитет: кто кого?

То есть антитела — это ускоритель иммунной реакции, который обращает внимание T-киллеров на зараженные клетки и подключает систему комплемента. Таким образом организм справляется гораздо быстрее и теряет меньше здоровых клеток.

Часть B-лимфоцитов, изучив вирус, вместо того чтобы создавать антитела прямо сейчас, остается с новыми знаниями про запас, на случай повторного заражения, и превращаются в клетки памяти. Если организм столкнется с вирусом еще раз, то просто активирует клетки памяти. И мы получим моментальные точные выстрелы снайперов и гранатометчиков [8], [9].

Вирусы и иммунитет: кто кого?

Пока вся эта канитель происходит, человеку может стать так плохо, что потребуется госпитализация или даже реанимация. Но накопленный опыт, технологии и медицина как-то должны помогать таким пациентам.

Как медицина может помочь иммунитету, если сам он не справляется

На каком этапе иммунной реакции человек может вмешаться?

Начнем с этапа, когда вирус пытается взломать клетку. У коронавируса есть ключики от слизистых: можно потрогать зараженный объект руками и перенести заразу себе, прикоснувшись к лицу. Носители могут чихнуть или кашлянуть на вас. Капельки слюны распыляются, когда вы разговариваете или смеетесь [10].

С руками все просто: можно смыть верхний слой кожного жира, на котором остаются вирусные частицы. А вот клетки слизистых надо как-то отгородить, например, маской . Но она не защищает глаза. Вирусы, попадая на маску, никуда не исчезают — они там копятся. Важно не занести их, когда вы будете поправлять или снимать маску. А самодельные тканевые маски могут быть бесполезны, если у них широкие поры.

Кардинальный метод защиты (и пока лучший) — уйти на карантин. Но в таком случае плохо становится не здоровью людей, а экономике.

Поможет ли молитва? Нет, клетки устроены одинаково и у церковнослужителя, и у бабули, и у знаменитости.

Поможет ли водка от вируса? Нет. Когда вы пьете алкоголь, вы не дезинфицируете организм, а ослабляете его. Так иммунным клеткам придется даже сложнее [12].

Чеснок, имбирь и другие чудеса народной медицины не работают антисептиком [11]. Чтобы разрушить вирусную частицу, нужен раствор с содержанием спирта не менее 60%, например, специальный антисептик для рук. Им логично протирать руки, поручни, дверные ручки и мобильные телефоны.

Допустим, попадание вируса в организм предотвратить не удалось. Начинается месиво: фагоциты и T-киллеры не справляются, B-лимфоциты стараются делать антитела и клетки памяти, пока вирус вовсю использует наши клетки. За это время человеку может стать очень плохо.

Можно ли помочь B-лимфоцитам? Да, можно еще до заражения ввести мертвый вирус, кусок вируса или подобие вируса, чтобы B-лимфоциты потренировались и заранее сделали антитела. Такой метод называется прививкой [13–16].

Вирусы и иммунитет: кто кого?

Вирусы и иммунитет: кто кого?

Создание лекарств занимает годы. Нужно найти действующее вещество, способ доставлять его в клетки, сделать из него препарат, который не испортится при хранении и не убьет побочными эффектами .

Сайт-агрегатор отчетов по клиническим исследованиям — ClinicalTrials.gov.

Если человеку стало очень плохо, нужно поддержать его организм, чтобы он выжил, пока побеждает вирус. Для этого людям нужны койки в больницах, аппараты ИВЛ и врачи. Но если инфекция быстро распространяется, много людей одновременно нуждаются в помощи.

Напомним, что ивазивная ИВЛ травматична и сама по себе опасна: например, тем, что может повлечь за собой заражение пациента дополнительной внутрибольничной инфекцией. — Ред.

Вирусы и иммунитет: кто кого?

Чтобы люди не умирали без помощи медиков, нужно искусственно замедлить скорость распространения вируса — сидеть дома. Чем больше людей игнорируют карантин, тем больше тех, кому не хватит медицинской помощи, а значит, будет больше смертей [18].

Если организм справился с инфекцией, у него появляются клетки памяти, поэтому он не будет носителем и не заразит других людей. Если клетки памяти будут у большинства, появится коллективный иммунитет. В таких условиях человек из группы риска вряд ли встретит носителя. Когда все носители переболеют, вирус среди людей не будет встречаться.

Вирусы и иммунитет: кто кого?

Некоторые страны уже снимают карантин. Но еще не понятно, есть ли коллективный иммунитет и не вызовет ли это новую волну заражений. В случае с коронавирусом пока неизвестно, сколько живут клетки памяти [19].

В России все еще каждый день заболевает по 8–10 тысяч человек. Возможно, в вашем регионе пандемия только набирает обороты . А значит, любой человек на улице может оказаться носителем.

В наших силах если не остановить, то хотя бы замедлить темпы, чтобы люди не умирали без помощи медиков.

Что же делать людям в борьбе с вирусом?

Защищаться мытьем рук и антисептиками? Искать вакцину или лекарство? Ждать, когда появится коллективный иммунитет? Или замедлять социальную активность, чтобы одновременно не заболело много людей? Сейчас мы делаем всё сразу.

Большинство стран мира следуют рекомендациям ВОЗ. Сайт этой организации переведен на русский язык. Там можно найти комментарии к мифам о коронавирусе и официальные рекомендации как для медиков, так и для населения. Если кто-то предлагает вам чудесное лекарство от болезни, проверьте, написали ли о нем эксперты ВОЗ.


Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:


Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

  • Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
  • Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

  • поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
  • определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
  • переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
  • повторять, пока не решим остановиться
  1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
  2. Читаем свой код (код тела вируса).
  3. Берем несколько первых инструкций из файла-жертвы.
  4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
  5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
  6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
  7. На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

  • сокрытие кода самого вируса;
  • сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

Читайте также: