Контрольные точки и вирусы

Обновлено: 19.04.2024

Испытания лекарств от ВИЧ часто включает в себя аналитическое прерывание лечения, когда пациенты с ВИЧ прекращают прием антиретровирусной терапии (АРТ), чтобы ученые могли понаблюдать, как неконтролируемый вирус реагирует на исследуемые препараты.

Участие в такого рода клинических испытаниях может вызвать страх у человека с ВИЧ, который привык поддерживать неопределяемую вирусную нагрузку. Кроме того, предыдущее исследование, проведенное доктором Лау, показало, что многие люди с ВИЧ не были уверены в том, как работают эти испытания, и многие из них не были готовы к длительным периодам определяемой вирусной нагрузки.

Ученые работают над различными стратегиями излечения ВИЧ-инфекции. Некоторые методы нацелены на сокращение латентных резервуаров ВИЧ — инфицированных иммунных клеток, которые не производят новые вирионы в течение многих месяцев или лет. Другие виды терапии пытаются повысить способность иммунной системы контролировать вирус.

Существуют два типа исследований, основанных на прерывании лечения, которые используются для оценки потенциальной терапии: изучение времени до восстановления вирусной активности (TVR) и изучение контрольных точек. В исследованиях TVR после того, как участники прекращают АРТ, ученые измеряют время, необходимое, чтобы вирусная нагрузка сначала достигла обнаруживаемого уровня (50 копий/мл), а затем время, необходимое для достижения более высокого порога (часто 10 000 копий/мл), после чего участники возобновляют прием АРТ. Если тем, кто получает лечение, требуется больше времени для достижения этих пороговых значений по сравнению с контрольной группой, это указывает на то, что терапия замедляет восстановление вирусной активности. Исследования TVR часто используются для оценки методов терапии, нацеленной на резервуары, обычно они длятся всего несколько недель.

Исследования контрольных точек демонстрируют, насколько эффективно иммунная система участников контролирует ВИЧ самостоятельно. В этих гораздо более длительных исследованиях (до нескольких месяцев) исследователи позволяют вирусным нагрузкам участников достигать высоких уровней, имитируя острую фазу ВИЧ, чтобы проследить, сможет ли их иммунная система в дальнейшем снизить эту нагрузку. Порог для возобновления АРТ обычно устанавливается на высоком уровне (часто 100 000 копий/мл). Когда участники, получающие лечение, способны контролировать ВИЧ при более низких уровнях вирусной нагрузки и в течение более длительного времени, чем участники контрольной группы, это говорит о том, что терапия повышает их иммунитет против вируса.

Несмотря на то, что нет конкретных рекомендаций, определяющих, как планировать исследования с прерыванием лечения, группа ученых, занимающихся исследованием ВИЧ, встретилась в 2018 году, чтобы обсудить этические стороны и выработать методы для снижения риска. Прекращение АРТ во время этих исследований не просто подвергает участников риску длительных периодов определяемой, а в некоторых случаях и высокой вирусной нагрузки. Более высокие вирусные нагрузки также могут подвергать опасности и ВИЧ-отрицательных половых партнеров участников.

До сих пор в большинстве исследований риск снижался за счет небольшого числа участников и отсутствия контрольной группы, которая вместо лечения принимала неактивное плацебо. Включение контрольной группы важно, потому что это позволяет ученым сравнивать тех, кто принимает лекарства, с теми, кто находится на плацебо. Тем не менее научное сообщество обсуждало этичность использования контрольных групп в подобных испытаниях лекарств, потому что они подвергаются длительным периодам повышенной вирусной нагрузки в отсутствие каких-либо препаратов, даже экспериментальных.

Исследование

Доктор Лау и ее коллеги использовали данные предыдущих клинических испытаний для создания математических моделей, позволяющих оценить, как различные их параметры влияют на статистическую мощность испытания.

Статистическая мощность аналогична чувствительности. Например, тест на ВИЧ с чувствительностью 80% успешно идентифицирует вирус у 80% людей, которые на самом деле ВИЧ-положительны, но не выявит у остальных 20% ВИЧ-положительных людей. Когда клиническое испытание, оценивающее лечебную терапию, должно достигнуть статистической мощности в 80% (при условии, что терапия имеет реальную пользу для тех, кто ее принимает), в испытании будет 80-процентная вероятность обнаружить пользу и 20-процентная вероятность ее упустить.

Проще говоря, чем больше данных задействовано в испытании, тем большей статистической мощностью оно будет обладать. Такие факторы, как количество участников, число контрольных параметров, продолжительность испытания и частота анализов крови, влияют на статистическую мощность испытания.

Результаты пробного моделирования TVR

В отношении недавнего исследования TVR с участием 13 человек такая модель показала, что при мощности 80% исследование выявило бы только лечение со значительным снижением реактивации (от 70 до 80%). Чтобы исследование TVR выявило снижение реактивации на 30%, потребуется уже по 120 участников в группе терапии и в контрольной группе. Поскольку в большинстве исследований TVR задействовано малое число участников, они, вероятно, не устанавливают умеренных результатов терапии.

Может показаться нелогичным планирование исследования для выявления меньшего эффекта от лечения, когда конечной целью является поиск максимальной пользы (т. е. терапия, приводящая к 100% снижению реактивации). Тем не менее на начальных этапах поиска лекарства необходимо фиксировать даже умеренные результаты, чтобы решить, требует ли этот метод дальнейшего изучения.

Помимо рекомендации увеличить количество участников, команда предлагает использовать ретроспективные контрольные данные в дополнение к контрольным группам. Данные из предыдущих испытаний, в которых люди прерывали АРТ, могли бы повысить потенциал выявления умеренной пользы от лечения. Они смоделировали гипотетическое исследование TVR, в которое вошли 50 участников и 50 человек из контрольной группы. При мощности 80% эта конструкция может обнаруживать снижение реактивации до 43%. Добавление ретроспективных данных еще 150 участников позволило бы в том же испытании выявить снижение до 36%.

Такое моделирование также не показало практически никакого улучшения способности обнаруживать снижение реактивации при увеличении продолжительности испытаний TVR свыше пяти недель. После этого срока модель предсказала улучшение обнаружения не более чем на 1%. Точно так же они не обнаружили практически никакой пользы от проведения лабораторного мониторинга чаще, чем раз в неделю. Наблюдение за людьми два раза в неделю почти не помогло обнаружить снижение реактивации.

Ученые провели отдельный анализ для оценки максимального риска передачи ВИЧ во время исследований TVR на основе предыдущих данных. Они оценили максимальный риск передачи, предполагая, что участники занимались незащищенным сексом и что доконтактная или другие методы профилактики не использовались. Кроме того, если во время еженедельного мониторинга не сообщать пациенту показатель вирусной нагрузки сразу же, то участник, которому необходимо возобновить АРТ (если его вирусная нагрузка превысила 1000), скорее всего, отложит это до следующего еженедельного визита.

Было подсчитано, что в этом случае во время пятинедельного исследования TVR с порогом вирусной нагрузки 1000 для повторного начала АРТ максимальный риск передачи ВИЧ составил 3,6 на 1000 участников, занимающихся вагинальным сексом. При анальном сексе для вводящих партнеров максимальный риск составлял около 7 на 1000, а для принимающих партнеров — около 70 из 1000. Изменение схемы исследования, включающее экспресс-тестирование на вирусную нагрузку и возобновление АРТ в тот же день, снижает предполагаемый максимальный риск до 0,9, 1,8 и 18 на 1000 соответственно.

Результаты моделирования исследования по контрольным величинам

Исследования контрольных точек должны иметь достаточную статистическую мощность, чтобы отделять преимущества предлагаемой лечебной терапии от контроля после лечения. Используя результаты исследования CHAMP, ученые предположили, что исходный уровень контроллеров после лечения ниже 4%. Если целью исследования было определить увеличение количества контролеров до 20% (это означает, что терапия помогла людям, которые не являются естественными контроллерами, подавить вирус), их модель показала, что 24-недельное исследование со статистической мощностью 80% потребует участия 60 пациентов.

Из-за чрезвычайно высоких вирусных нагрузок в типичных исследованиях контрольных величин (до 100 000) авторы сравнили, как использование более консервативного порогового значения (1000) для возобновления АРТ повлияет на способность этих исследований обнаруживать увеличение числа контроллеров после лечения. CHAMP показало, что у 55% контроллеров после лечения первоначальные всплески вирусной нагрузки не превышали 1000 копий/мл, и в дальнейшем они сохраняли вирусную нагрузку ниже этого порога.

Используя эти данные, Лау и Кромер предположили, что использование порога в 1000 копий маскирует 45% естественных контроллеров после лечения, что может помешать обнаружить, когда терапия усиливает иммунный контроль участников над ВИЧ. Чтобы восстановить статистическую мощность, потребуется больше участников. Как и в приведенном выше примере, при мощности 80% и цели выявления 20-процентного повышение числа контроллеров после лечения свыше базового уровня 4%, более низкий порог вирусной нагрузки потребует увеличить количество участников с 60 до 120 как в лечебных, так и контрольных группах.

Как и в случае исследований TVR, ученые также оценили максимальный риск передачи ВИЧ во время определения контрольных величин, используя те же предположения, что и описанные выше (отсутствие стратегий профилактики и экспресс-тестирования на вирусную нагрузку, незащищенный секс, недельная задержка перед возобновлением АРТ). Из-за гораздо большей продолжительности испытаний и высоких пороговых значений вирусной нагрузки (для этого они сослались на исследование контрольных величин, в котором использовали данные 50 000 человек) они оценили максимальный риск передачи ВИЧ как 13 случаев на 1000 при вагинальных половых контактах, около 25 на 1000 — для вводящего партнера при анальном сексе, 214 на 1000 — крайне высокий — для принимающего партнера при анальном сексе.

Предлагаемая гибридная схема испытаний

Основываясь на собственном моделировании и оценках максимального риска передачи, ученые предлагают использовать гибридную модель для анализа прерывания лечения. В озвученной ими схеме прерывания будут начинаться с пятинедельного исследования TVR. Хотя оно, как правило, применяется, когда терапия нацелена на резервуары ВИЧ, у людей, отвечающих на терапию, направленную на усиление иммунитета, также будет наблюдаться более медленное восстановление вируса (если лечение было эффективным).

Начало испытания для оценки потенциального лечения с помощью исследования TVR подвергнет участников гораздо более коротким перерывам в лечении, что позволит исследователям определить, имела ли эта терапия достаточную эффективность, чтобы перейти к более длительному изучению заданных значений. Если медики согласятся с необходимостью дальнейшего исследования, а пациенты с вирусной нагрузкой ниже 1000 согласятся перейти к следующей фазе, они продолжат тщательное наблюдение в течение 24 недель или до тех пор, пока вирусная нагрузка участников не превысит 1000 копий/мл, после чего они возобновят АРТ.

Ученые рекомендуют провести экспресс-тестирование на вирусную нагрузку и возобновить АРТ в тот же день, чтобы свести к минимуму риск передачи инфекции. По их оценке, ограничение контрольной точки теми, кто уже демонстрирует контроль за вирусом, до вирусной нагрузки ниже 1000, снижение порога вирусной нагрузки для возобновления АРТ до 1000, ограничение продолжительности до 24 недель, а также включение тестирования по месту оказания медицинской помощи и возобновление АРТ в тот же день снижают максимальный риск передачи до 0,2 на 1000 при вагинальном сексе, до 0,35 на 1000 — для вводящего партнера при анальном сексе и до 3,1 на 1000 — для принимающего партнера при анальном сексе. И это значительное улучшение показателей по сравнению с оценкой, полученной в ходе традиционных исследований контрольных величин.

Если первоначальное исследование TVR показывает, что лечение не требует дальнейшего изучения (например, если не обнаружено позитивного эффекта), то ученые смогут избежать затрат на проведение длительного исследования контрольных величин.

Выводы

Ученые пришли к выводу, что в испытаниях лекарств недостаточно участников для обеспечения знаковой статистической мощности при умеренных результатах лечения. Поскольку чаще всего при испытаниях терапии также не используются контрольные группы, количественная оценка пользы лечения чрезвычайно сложна. Специалисты рекомендуют сотрудничать всем заинтересованным структурам для создания ретроспективной контрольной базы данных, которая позволила бы разработать схему испытаний, не полностью полагающуюся на контрольные группы плацебо. Тем не менее они отмечают, что задействование ретроспективных контрольных данных означает включение людей, которые с большей вероятностью начали АРТ во время хронической ВИЧ-инфекции, и тех, кто использует более старые схемы АРТ, которые могут действовать как искажающие факторы.

Тем не менее сокращение числа участников, получающих плацебо, снижение пороговых значений вирусной нагрузки, продолжительности испытаний и рисков передачи ВИЧ могут побудить большее число людей с ВИЧ участвовать в исследованиях с прерыванием лечения.

Вы знаете как возвратить состояние вашего Windows в момент времени, когда он еще не был заражен вирусом? Этот легко можно делать без антивируса и, вдобавок, это может занять лишь считанные доли секунды.

Неважно, как далеко вы ушли по неправильному пути – возвращайтесь.
Турецкая поговорка

Введение

Очень интересно смотреть на людей, которые, понимая наличие компьютерного вируса на своей операционной системе Windows, проводят конкурс: какой антивирус лучше. Из интернета или с имеющегося диска используются все антивирусы подряд, пока очередной не скажет, что вирус найден и вылечен. Однако этот метод не всегда дает нужный результат и тогда человек переустанавливает операционную систему и успокаивается.

Нужно ли использовать антивирусы? Нужно. Но при этом надо понимать, что антивирусы не всегда ловят вирусы. Для примера возьмем недавний отчет SurfRight где было исследовано 107435 реальных компьютеров. 37898 компьютеров (35% из всех) было инфицировано вредоносным кодом и при этом на 25038 стояли антивирусы одновременно с вирусами, но антивирусы об этом не знали. Как видите на этом примере 2/3 зараженных компьютеров (25038 из 37898) имело антивирус, но им это не помогло. Хорошо, однако, что на других компьютерах наличие антивируса помогло. Таким образом, антивирус - это часть защиты, необходимая, но недостаточная.

Нужно ли переустанавливать Windows, если вредоносный код никак не удаляется и не обнаруживается? Да, это один из вариантов. Но недостаток метода переустановки Windows состоит в том, что установка занимает время: ведь нужно установить все необходимые драйверы, дополнительное программное обеспечение, например Microsoft Office и так далее, а может занять весь день (или всю ночь).

Конечно, пытливый читатель уже догадывается, что переустанавливать Windows не всегда нужно, если вы заблаговременно создали образ вашей системы (бекап) при помощи специализированных программ, типичным представителем которых является Norton Ghost. Однако есть другие еще более быстрые способы, позволяющие возвратить состояние компьютера в момент времени, когда еще не был заражен. Пора узнать, как можно ускорить процесс возвращения своей операционной системы в это состояние.

Контрольные точки восстановления Windows

Работа с минимальными привилегиями - не панацея от всех бед

Перед тем как начинать лечение нужно вспомнить, тот день, когда вы могли заразиться. Это могло быть, вообще говоря, посещение любого сайта, загрузка любой программы, просмотр любого PDF или видео по Интернет, воткнутая в USB флешка, атака с соседнего компьютера. Сейчас заразиться можно везде, даже на вполне порядочных сайтах и даже просматривая совершенно безобидные документы: PDF, XLS, DOC. С выбором даты можно не бояться: даже если вы ошибетесь с датой, всегда можно откатить изменения или выбрать дату еще более раннюю. По умолчанию функция восстановления системы Windows XP и Vista сохраняет системные файлы и реестр раз в сутки, а Windows 7 - раз в неделю.

Затем вы запускаете стандартную служебную программу “Восстановление системы” из меню Пуск и возвращаете систему в состояние до заражения, указав нужную дату в соответствующем окне программы. Точка восстановления системы – эта информация о состоянии системы на указанную дату и время. Поэтому, выбрав нужную точку восстановления, вы можете вернуть состояние системы на тот момент. Вот и все. Повторюсь: если лечение было неудачным, то вы можете откатить изменения обратно или выбрать еще более раннюю точку восстановления.

Вот как выглядит скриншот для WindowsXP.

Вот как выглядит скриншот для Windows 7.

При восстановлении в Windows 7 вы можете посмотреть программы, которые будут затронуты при восстановлении. В Windows XP служба восстановления системы отслеживает лишь ключевой набор файлов системы и приложений, а в Windows 7 система следит за изменениями всего диска. Однако в обеих операционных системах пользовательские файлы не включаются в точки восстановления системы, поэтому возврат к предыдущей точке не приведет к потере ваших документов.

Если вы читаете эту статью до того как собираетесь использовать точки восстановления, то проверьте, а включена ли у вас эта функция – это поможет вам восстановить систему в будущем при любой аварийной ситуации. В Windows XP выберите: Мой Компьютер – Свойства – Восстановление системы, в Windows 7: Компьютер – Свойства – Защита системы.

Скриншот из Windows 7 с включенной защитой диска C:

Windows SteadyState или мгновенный снимок диска

Еще более удачной бесплатной функцией для восстановления системы, которая есть в Windows является компонент SteadyState. Он доступен для Windows XP и Vista и его надо скачать с сайта Microsoft и установить дополнительно. В Windows 7 эта функция на момент написания статьи (май 2010 года) отсутствует. В принципе аналогичные решения существуют и у сторонних разработчиков, перечислю их: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Некоторые из них тоже имеют бесплатные версии. И некоторые из них работают также под Windows 7.

Windows SteadyState и другие подобные системы изначально разрабатывалась для использования на общедоступных компьютерах в гостиницах и интернет-кафе. Но эта технология также очень полезна и домашним пользователям как система постоянной поддержки Windows в работоспособном состоянии.

Таким образом, достоинством Windows SteadyState является то, что любые изменения, которые происходили в системе, вы можете вылечить обычным перезапуском системы. Минусом является то, что вы должны позаботиться о сохранности своих документов, которые хранятся на ваших дисках. Поскольку Windows SteadyState защищает только раздел, где расположена система, то вы можете хранить документы на соседних разделах. А если вы будете хранить ваши документы (или фильмы или музыку) на сетевых дисках, то вы еще больше упростите себе жизнь. Надо заметить, что сторонние продукты, перечисленные выше, предлагают более расширенный функционал этого вида защиты, но при этом просят за это денег.

Образы дисков

Говоря о системах восстановления нельзя не упомянуть способ, когда вы можете сделать обычный архив вашей системы и потом ее восстановить. Системы бекапа дисков развились очень сильно: они уже могут делать архив работающей системы - не тратя ваше рабочее время в ожидании, когда процесс завершиться. Созданные бекапы Windows могут быть восстановлены даже на совершенно другой компьютер, где уже будет другое железо: процессор, материнская плата, видеокарта и др. Однако самым быстрым способом восстановления я считаю работу на мгновенных копиях диска, когда обычной перезагрузкой вы бесследно стираете последствия своих ошибочных действий. И тратите на стирание вируса 0 секунд своего времени.

Заключение

Итак, мы изучили несколько способов восстановления системы после заражения. Самым быстрым способом восстановления заражения является работа на теневом снимке диска, самым медленным – восстановление из бекапа. Однако, все эти способы быстрее и надежнее, чем любой антивирус, особенно при защите от таких видов вредоносного кода, как руткиты. Руткиты специально предназначены для сокрытия от антивирусов и очень часто антивирусы неспособны противостоять им. Именно на базе руткитов строятся целые сети управляемых удаленно компьютеров (ботов), а антивирусы и люди даже не замечают этого.

Пример: Руткит TDSS (так же известный как Alureon, Tidserv или TDL3)

Привожу пример этого руткита, потому что в моем окружении я выявил очень много людей зараженных этим руткитом, а это и коммерческие и гос. организации. Способ заражения в выявленных мной случаях – автозапуск с флешки. Антивирусы этот руткит не обнаруживают, лучший способ для его поиска – утилита TDSS Remover. На основе данных компании Damballa, считается, что на сегодняшний день самый большой ботнет Zeus предназначенный для кражи паролей в системы интернет-банкинга. Но в России похоже это TDSS. Для проверки запустите у себя эту утилиту, вдруг она что-то найдет и у вас?

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Существует довольно много показателей, по которым судят об эффективности антивирусного ПО и о компании, создавшей и поддерживающей его. Типичные показатели включают в себя время реагирования компании на новые угрозы и возможности антивируса к их обнаружению. Но достаточно ли этих показателей для эффективной защиты вашей системы?

Цель этой статьи – исследовать проблемы и сложности обнаружения комплексных вирусов, включая полиморфные, метаморфные вирусы, и вирусы, скрывающие точку входа. Возможность обнаружения таких вирусов может помочь в оценке антивирусного ПО.

В этой статье мы покажем, какие проблемы влекут за собой комплексные вирусы. Важным шагом в знакомстве с комплексными вирусами будет определение понятий полиморфный вирус, метаморфный вирус, вирус, скрывающий точку входа, и понимание угроз, которые они несут с собой. Потом мы рассмотрим несколько реальных примеров того, как были обнаружены комплексные вирусы, и это подведет нас к обсуждению ограничений современных антивирусных технологий.

Обзор комплексных вирусов

Раньше полезным и популярным показателем считалось количество вирусов, которые способен обнаружить антивирус, однако с приходом более полезных и разумных методов про него забыли. Сегодня такими показателями считаются время реагирования антивирусной компании на новую угрозу и возможности их продукта к обнаружению вирусов. Однако эти показатели часто не затрагивают угрозу иного рода – комплексных вирусов. При обнаружении комплексных вирусов скорее всего придется столкнуться с двумя проблемами: либо это вирусы, которые просто очень сложно обнаружить, либо поисковый механизм антивируса не позволяет это сделать. Мы начнем, пожалуй, с определений, которые нам пригодятся.

Полиморфный вирус – вирус изменяющий свой код внутри заражаемых програм. Например, он может шифровать свое тело используя каждый раз разные ключи, и расшифровывать его во время активации. Цикл расшифровки мутирует с различными поколениями вирусов и, обычно, не так-то просто понять его алгоритм.

Метаморфные вирусы, так же изменяют свой код, но не используют алгоритмы шифрования. Различие проявляется в виде изменений внутри кода вируса. Существует несколько технологий, позволяющих с успехом реализовывать данную методику.

Одна из этих технологий трансформации, используемая метамофными программами основана на вставке и удалении “мусора” внутри кода. Эти инструкции не влияют на работу вируса, но занимают некоторое количество места и усложняют анализ больших участков кода.

Другая технология – изменение базовых инструкций на уровне опкода. Это означает переключение между несколькими отличающимися опкодами, которые выполняют одну и ту же функцию.

Вирус, скрывающий точку входа – это вирус, который получает управление от программы косвенным путем, не напрямую через главную точку входа. Обычно это осуществляется в изменении адреса переменной в теле программы, адреса входа функции или вызова API, направляя управляющий поток к коду вируса.

Довольно сложным вирусом может быть полиморфный Win32 вирус, внешность которого сильно разнится между экземплярами. Независимо от доступной вам технологии обнаружения вируса, первым делом следует изучить принцип работы вируса и разработать алгоритм, способный определять все его копии. Однако это может оказаться утомляющей задачей, даже при наличии опыта в написании подобных алгоритмов в виде отдельной программы на известном языке.

Определение угрозы

Все эти примеры стоят нескольких дней (и ночей) работы, имея ввиду реверсинг, репликацию вируса и написание алгоритма определения вируса. Исследователю будет легче написать сначала отдельную программу на Си, и после этого интегрировать алгоритм в антивирусный продукт.

Ограничения в технологии поиска вирусов

К сожалению, антивирусные эксперты не имеют возможности писать отдельные программы для каждого нового вируса. Вместо этого они вынуждены ограничиться структурой своего антивирусного продукта. Эта структура может быть более или менее гибкой и обычно сопровождается некоторым числом ограничений, которые и определяют эффективность ответа на угрозу.

Сравнительно простой вирус, направленный на только зарождающуюся платформу (скажем Win64), может выявить ограничения поискового механизма антивируса, которые усложнят его обнаружение настолько же, насколько сложно обнаружить полиморфный вирус на Win32. Конечно все зависит от доступной антивирусной технологии. Может оказаться, что формат файла не проверяется антивирусом, либо не поддержан. Также может понадобиться эмуляция. Эти факторы влияют на способность обнаружения вируса.

Некоторые новые вирусы, найденные в 2004 году, нацеленные на платформу Win64 и довольно сложно определяемые, включают в себя W64/Rugrat (документ PDF) (IA64), W64/Shruggle (AMD64) и несколько вирусов с MSIL-инфекторами. Соответствующие форматы исполняемых файлов варьируются, так что даже задача подбора поисковой строки превращается в трюк акробата, если антивирус не поддерживает эти форматы.

Важность своевременного обнаружения комплексных вирусов

Кроме времени реакции, различается и способность к обнаружению вирусов, это видно при измерении способности обнаружить все виды полиморфных вирусов, учитывая допустимую погрешность. А что такое допустимая погрешность? Хотя она разная у каждой компании, обычно она составляет лишь небольшой процент ложных обнаружений, но есть и исключения. Последний пример – W32/Zelly – этому вирусу была разрешена большая (50%) погрешность некоторыми компаниями лишь для того, чтобы стать первыми его находчиками.

Что если ваша антивирусная компания перестанет уделять внимание комплексным вирусам? Это должно подсказать вам, что их технологии и/или профессионализм не на высшем уровне. Что если завтрашний Mydoom будет полиморфным? Смогут ли они дать ответ угрозе?

Если вы считаете этот сценарий маловероятным, сравните его с этой аналогией: если бы вам пришлось выбрать хирурга для проведения операции, вы бы выбрали того, кто провел сотни успешных операций на разные части тела, или того, кто только практиковался в вырезании аппендицита? Даже для вырезания аппендицита, большинство бы выбрали первого.

Создатели вирусов нападают

Антивирусный сканер может быстро обнаружить изменения в программе, проверяя ее размер. Если размер файла был изменен в процессе запуска, это хороший индикатор того, что вирус инфицировал программу. Чтобы обойти эту проверку, пустотные (cavity) вирусы прятали свой код в пустых пространствах внутри файла программы, оставляя размер файла неизменным. Пустотные вирусы пошли еще со времен MS-DOS, начиная с вируса Lehigh. Использование этой техники в создании вирусов значительно возросло, когда Microsoft разработал Windows PE формат для возможности взаимодействия Windows программ в разных ОС Windows. С целью ускорить загрузку программ в формате PE, компиляторы Windows программ создавали пустые пространства внутри файлов. Многие вирусы, такие как W2K/Lamchi, использовали эти пустые пространства для сокрытия вирусного кода.

Создатели вирусов также стали применять технику сокрытия точки входа (entry point obscuration - EPO), чтобы прятать место нахождения jump-инструкции к коду вируса. Червь W32/MTX@M и вирус Win95/SK были одними из первых, использующих эту технику. Существует множество разновидностей этой идеи, от сокрытия блока вирусного кода в теле программы до фактического интегрирования вирусного кода в код программы. Многие АВ профессионалы рассматривают EPO вирусы как наиболее перспективные.

Создатели вирусов стали использовать техники шифрования для предотвращения быстрой идентификации антивирусным ПО. Изменяя ключ шифрования от компьютера к компьютеру, вирус может защитить свой код от быстрой идентификации. Группы разработчиков вирусов, такие как 29A VX, и отдельные разработчики, например Zombie и Black Baron, работают над усовершенствованием методов шифрования и мутации.

Позже создатели вирусов представили метаморфный вирус, который фактически меняет свой код от поколения к поколению (поколение – одна серия размножения). Метаморфный вирус также шифрует свой код, но его процедура дешифровки, ключ и даже местоположение ключа могут меняться со временем. И, в отличие от полиморфных вирусов, в метаморфных данные и код смешаны в теле вируса. Как и полиморфные вирусы, метаморфные тоже используют различные техники для сокрытия истинного предназначения своего кода.

Суть не только в том, чтобы спрятать злонамеренный код, создатели вирусов также предпринимают шаги для атак против антивирусного ПО. Существуют три основных атаки, которые могут быть применены против эмуляторов системы. Первая из них – включение ненормальных и неестественных инструкций. Это программные инструкции, которые АВ программисты могли не рассмотреть ввиду того, что они практически не используются в реальных программах и слишком сложны для эмуляции, в итоге они не обнаруживаются эмуляторами.

Во второй атаке на эмуляторы системы, создатели вирусов пытаются использовать задержку между оценкой эмулятором подозрительного кода и временем исполнения в реальной системе. IDEA.6155 – наиболее старый пример этой атаки, в котором долгая процедура дешифровки может переполнить ограниченные ресурсы эмулятора.

В третьей атаке на эмуляторы кода, вирус пытается определить, что он находится в эмуляторе, используя ограничения в дизайне эмуляторов кода. Никакой эмулятор не может учесть все вероятные ситуации. Вирус может также варьировать свое поведение в зависимости от системной даты или воспринимая изменения типа потери сетевого соединения. Например, известно, что Magistr не заражает исполняемые файлы при отсутствии Интернет-соединения.

Вирус W32.Simile - один из последних метаморфных вирусов. Этот очень сложный вирус способен существовать как на Linux, так и на Windows платформах. Большая часть кода вируса, содержащего более 14000 ассемблерных команд, посвящена собственному метаморфическому механизму. Этот вирус, написанный создателем вирусов The Mental Driller, и обнаруженный в марте 2002 г., имеет множество антиэмуляторных функций. Он использует псевдослучайный алгоритм дешифровки, который использует модульные арифметические функции для дешифровки тела вируса нелинейным способом, не от начала до конца, а кусками, выбранными, по видимому, случайным образом, для того, чтобы запутать эмулятор.

Чтобы еще больше запутать эмулятор, вирус Simile воспользовался инструкцией RDTSC (Read Time Stamp Counter). Вирус анализирует внутренний процессорный счетчик и случайным образом определяет, пора расшифровывать код, или еще подождать. Это означает, что вирус может не расшифроваться с первой или даже с нескольких попыток. Ввиду сложности вирусного кода, он содержит множество ошибок, которые могут помешать расшифровке вируса в течение длительного времени.

Сложность Simile также указывает на то, что мало кто из создателей вирусов возьмется за написание действительно сложных вирусов. Наоборот, успех Hybris, Klez , Magistr, MTX, и Sircam указывает на то, что вирусам, эффективно использующим поддельные адреса возврата или изменение тела вируса, обеспечена долгая жизнь на мировой арене.

Антивирусные программисты отражают атаку!

Если файл в состоянии покоя не показывает наличие вируса, вирус все же может выйти из него при запуске. Анализ стека CPU эмулятора может указать на наличие признаков, сигнализирующих о наличии вируса.

Несомненно одно: чтобы называться вирусом, враждебный код должен размножаться. Вирусы не только размещают свой код в файлах, они зачастую помечают эти файлы для предотвращения повторного заражения. Таким образом, анализируя структуру файла,

Читайте также: