Вирусы на с faq
И снова здравствуйте.
Тема сегодняшней статьи компьютерные вирусы. Виды компьютерных вирусов, принципы их работы, пути заражения компьютерными вирусами.
Что вообще такое компьютерные вирусы.
Виды вредоносных программ.
Разделить вредоносные программы можно на два основных вида.
Вирусы и черви.
Но он явно попал не через интернет а скорее всего через пиратский диск. Суть его работы была таковой — он создавал будто бы копию каждой папки в компьютере или на флешке. Но на самом деле он создавал не похожую папку а exe файл. При нажатии на такой exe файл он распространялся ещё сильнее по системе. И вот было только избавишься от него, придешь к другу с флешкой, скинуть у него музыку а возвращаешься с зараженной таким червем флешку и снова приходилось его выводить. Наносил ли этот вирус какой то ещё вред системе я не знаю, но вскоре этот вирус прекратил своё существование.
Основные разновидности вирусов.
Пути заражения компьютерными вирусами.
Основные пути заражения.
— Уязвимость операционной системы.
— Уязвимость в браузере
— Качество антивируса хромает
— Глупость пользователя
— Сменные носители.
Уязвимость ОС — как бы не старались клепать защиту для ОС со временем находятся дыры безопасности. Большинство вирусов пишется под windows так как это самая популярная операционная система. Лучшая защита это постоянно обновлять вашу операционную систему и стараться использовать более новую версию.
Браузеры — Здесь происходит за счёт уязвимостей браузеров, особенно если они опять же старые. Лечится так же частым обновлением. Так же могут быть проблемы если вы качаете плагины для браузера со сторонних ресурсов.
Антивирусы — бесплатные антивирусы которые имеют меньший функционал в отличие от платных. Хотя и платные не дают 100 результата в защите и дают осечки. Но желательно иметь всё же хотя бы бесплатный антивирус. Я уже писал про бесплатные антивирусы в этой статье.
Глупость пользователя — клики по баннерам, переходи по подозрительным ссылкам из писем и тд, установка софта из подозрительных мест.
Сменные носители — вирусы могут устанавливаться автоматически с зараженных и специально подготовленных флешек и прочих сменных носителей. Не так давно мир услышал про уязвимость BadUSB.
Виды заражаемых объектов.
Файлы — Заражают ваши программы, системные и обычные файлы.
Загрузочные секторы — резидентные вирусы. Заражают как понятно из названия загрузочные сектора компьютера, приписывают свой код в автозагрузку компьютера и запускаются при запуске операционной системе. Порою хорошо маскируются что трудно убрать из автозагрузки.
Макрокоманды — Документы word, excel и подобные. Использую макросы и уязвимости средств Microsoft office вносит свой вредоносный код в вашу операционную систему.
Признаки заражения компьютерными вирусами.
Не факт что при появлении некоторых из этих признаков означает наличие вируса в системе. Но если они имеются рекомендуется проверить свой компьютер антивирусом или обратиться к специалисту.
Один из распространенных признаков — это сильная перегрузка компьютера. Когда у вас медленно работает компьютер, хотя у вас ничего вроде бы не включено, программ которые могут сильно нагружать компьютер. Но если у вас антивирус заметьте антивирусы сами по себе нагружают компьютер очень хорошо. А в случае отсутствия такого софта который может грузить то скорее тут вирусы. Вообще советую по уменьшить для начала количество запускаемых программ в автозапуске.
Медленная загрузка программ, так же может быть одним из признаков заражения.
Но не все вирусы могут сильно нагружать систему, некоторые практически трудно заметить изменения.
Системные ошибки. Перестают работать драйвера, некоторые программы начинают работать не правильно или часто вылетают с ошибкой но раньше допустим такого не замечалось. Или начинают часто перезагружаться программы. Конечно такое бывает из за антивирусов, например антивирус удалил по ошибке посчитав системный файл вредоносным, либо удалил действительно зараженный файл но он был связан с системными файлами программы и удаление повлекло за собой такие ошибки.
Появление рекламы в браузерах или даже на рабочем столе начинают появляться баннеры.
Появление не стандартных звуков при работе компьютера (писк, щелчки ни с того ни с сего и подобное).
Открывается сам по себе CD/DVD привод, или просто начинает словно читать диск хотя диска там нет.
Длительное включение или выключение компьютера.
Угон ваших паролей. Если вы заметили что от вашего имени рассылается различный спам, с вашего почтового ящика или странички социальной сети, как вероятность что вирус проник в ваш компьютер и передал пароли хозяину, если вы заметили такое рекомендую провериться антивирусом в обязательном порядке (хотя не факт что именно так злоумышленник получил ваш пароль).
Частое обращение к жесткому диску. У каждого компьютера есть индикатор, который мигает когда используют различные программы или когда копируете, скачиваете, перемещаете файлы. Например у вас просто включен компьютер но не используется никаких программ, но индикатор начинает часто мигать якобы используются программы. Это уже вирусы на уровне жесткого диска.
Вот собственно и рассмотрели компьютерные вирусы которые могут вам встретиться в интернете. Но на самом деле их в разы больше, и полностью защититься не возможно, разве что не пользоваться интернетом, не покупать диски и вообще не включать компьютер.
Советую по возможности не пренебрегать использованием виртуальных машин или песочницы.
Берегите себя и свои компьютеры.
- Главная страница /
- Чрезвычайные ситуации /
- Болезни /
- Коронавирус COVID-19 /
- Рекомендации ВОЗ для населения /
- Вопросы и ответы о COVID-19
Вопросы и ответы о коронавирусной инфекции COVID-19
- Коронавирус COVID-19
- Рекомендации ВОЗ для населения
- Вопросы и ответы о COVID-19
- Мифы и ложные представления
- В каких случаях и как следует носить маску
- Вопросы и ответы о мерах инфекционного контроля
Что такое коронавирус?
Коронавирусы составляют обширное семейство вирусов с доказанными болезнетворными свойствами по отношению к человеку или животным. Известно, что ряд коронавирусов способен вызывать у человека респираторные инфекции в диапазоне от обычной простуды до более серьезных состояний, таких как ближневосточный респираторный синдром (БВРС) и тяжелый острый респираторный синдром (ТОРС). Последний из недавно открытых коронавирусов вызывает заболевание COVID‑19.
Что такое COVID-19?
COVID‑19 – инфекционное заболевание, вызванное последним из недавно открытых коронавирусов. До вспышки инфекции в Ухане, Китай, в декабре 2019 г. о новом вирусе и заболевании ничего не было известно.
Каковы симптомы COVID‑19?
К наиболее распространенным симптомам COVID‑19 относятся повышение температуры тела, утомляемость и сухой кашель. У ряда пациентов могут отмечаться различные боли, заложенность носа, насморк, фарингит или диарея. Как правило, эти симптомы развиваются постепенно и носят слабо выраженный характер. У некоторых инфицированных лиц не возникает каких-либо симптомов или плохого самочувствия. У большинства людей (порядка 80%) болезнь заканчивается выздоровлением, при этом специфических лечебных мероприятий не требуется. Примерно в одном из шести случаев COVID-19 возникает тяжелая симптоматика с развитием дыхательной недостаточности. У пожилых людей, а также лиц с имеющимися соматическими заболеваниями, например, артериальной гипертензией, заболеваниями сердца или диабетом, вероятность тяжелого течения заболевания выше. При наличии повышенной температуры тела, кашля и затрудненного дыхания следует обращаться за медицинской помощью.
Как распространяется вирус?
Заразиться 2019‑nCoV можно от других людей, если они инфицированы вирусом. Заболевание может передаваться от человека к человеку через мелкие капли, выделяемые из носа или рта больного COVID‑19 при кашле или чихании. Эти капли попадают на окружающие человека предметы и поверхности. Другие люди могут заразиться в результате прикосновения сначала к таким предметам или поверхностям, а затем – к глазам, носу или рту. Кроме того, заражение может произойти при вдыхании мелких капель, которые выделяются при кашле или чихании человека с COVID‑19. По этой причине важно держаться от больного человека на расстоянии более 1 метра.
ВОЗ отслеживает ход исследований по вопросу о путях передачи COVID-19 и будет публиковать информацию по мере ее обновления.
Вирус в основном распространяется через капли, выделяемые из дыхательных путей человека при кашле или чихании. Риск заражения от человека, не имеющего никаких симптомов, крайне низок. С другой стороны, у многих людей симптомы COVID-19 бывают выражены очень слабо. Это особенно характерно для ранних стадий заболевания. Таким образом, риск передачи COVID-19 от человека, который не чувствует себя больным и имеет только слабый кашель, существует. ВОЗ отслеживает ход текущих исследований по вопросу об интервале времени, в течение которого больной человек остается заразным, и будет публиковать информацию по мере ее обновления.
По-видимому, риск заражения 2019-nCoV через фекалии инфицированного человека мал. Согласно данным предварительных исследований вирус в ряде случаев может быть обнаружен в фекалиях, однако подобный механизм передачи не играет ведущей роли в нынешней вспышке заболевания. ВОЗ изучает результаты продолжающихся исследований в отношении передачи COVID-19 и будет публиковать информацию по мере ее обновления. Подобный риск нельзя полностью сбросить со счетов, и это еще раз подтверждает важность регулярного мытья рук после пользования туалетом и перед приемом пищи.
Как я могу защитить себя и предотвратить распространение заболевания?
Следите за актуальной информацией о вспышке, которую можно найти на веб‑сайте ВОЗ, а также получить от национальных и локальных представителей служб общественного здравоохранения. Во многих странах мира зарегистрированы случаи заражения COVID‑19, а в некоторых — вспышки заболевания. Властям Китая, а также ряда других стран, в которых были зафиксированы вспышки, удалось замедлить распространение заболевания или полностью его остановить. Тем не менее ситуация по-прежнему непредсказуема, в связи с чем следует оставаться в курсе последних событий.
Соблюдая простые меры предосторожности, вы можете снизить риск заражения или распространения COVID‑19:
- Регулярно обрабатывайте руки спиртосодержащим средством или мойте их с мылом.
Зачем это нужно? Если на поверхности рук присутствует вирус, то обработка рук спиртосодержащим средством или мытье их с мылом убьет его.
- Держитесь на расстоянии не менее одного метра от кашляющих или чихающих людей.
Зачем это нужно? При кашле или чихании из носа или рта выделяются мельчайшие содержащие вирус капли, которые человек распространяет вокруг себя. Находясь слишком близко к такому человеку, вы рискуете вдохнуть эти капли и заразиться от него, в том числе коронавирусной инфекцией, если человек болен COVID-19.
- По возможности, не трогайте руками глаза, нос и рот.
Зачем это нужно? Руки касаются многих поверхностей, и на них может попасть вирус. Оказавшись на руках, вирусные частицы могут попадать в глаза, нос или рот. С этих частей тела вирус может внедряться в организм и вызывать заболевание.
- Как вам, так и окружающим следует строго соблюдать правила респираторной гигиены. Для этого необходимо прикрывать рот или нос сгибом локтя или салфеткой при кашле или чихании. Использованную салфетку нужно сразу же выбросить.
Зачем это нужно? Вирус передается через мелкие капли. Строго соблюдая правила респираторной гигиены, вы можете защитить окружающих от таких вирусных заболеваний, как ОРВИ, грипп и COVID-19.
- Если вы плохо себя чувствуете, оставайтесь дома. При повышении температуры, появлении кашля и затруднении дыхания как можно быстрее обращайтесь за медицинской помощью. Следуйте указаниям местных органов здравоохранения.
Зачем это нужно? У центральных и местных органов здравоохранения имеется самая актуальная информация о ситуации в районе вашего проживания. Своевременное обращение за медицинской помощью позволит медицинским специалистам оперативно направить вас в подходящее лечебное учреждение. Кроме того, вы тем самым обезопасите себя и поможете предотвратить распространение вирусных и других инфекций.
- Следите за обновлением списка зон высокого риска по COVID‑19 (города или районы, в которых отмечено широкое распространение COVID‑19). По возможности воздержитесь от поездок, особенно если вы являетесь пожилым человеком или страдаете диабетом, заболеваниями сердца или легких.
Зачем это нужно? В этих районах вы подвергнете себя повышенному риску заражения COVID‑19.
Меры индивидуальной защиты для тех, кто недавно (за последние 14 дней) посещал регионы распространения COVID‑19
Насколько мне стоит опасаться заражения COVID‑19?
Для большинства людей в большинстве регионов риск заражения COVID‑19 по‑прежнему мал. Тем не менее в некоторых частях мира (городах или районах) заболевание продолжает распространяться. Риск заражения выше для тех, кто проживает в таких районах или посещает их. Правительства стран и органы управления здравоохранением принимают энергичные меры реагирования на каждый новый случай заражения COVID‑19. При наличии введенных на местном уровне ограничений на поездки, передвижение или массовые мероприятия соблюдайте этот режим. Поддерживая меры по контролю за распространением заболевания, вы можете сократить риск заражения или распространения COVID‑19.
Является ли COVID‑19 предметом для беспокойства?
Как правило, коронавирусная инфекция COVID‑19 протекает в легкой форме, в особенности у детей и лиц молодого возраста. Тем не менее существует тяжелая форма инфекции: примерно в одном из пяти случаев заболевшим необходима госпитализация. Поэтому беспокойство людей за себя и близких в связи со вспышкой COVID‑19 оправдано.
Кому угрожает риск тяжелого течения болезни?
Наши сведения о COVID‑19 еще не полны, но, по-видимому, тяжелое течение болезни чаще отмечается у пожилых людей, а также у людей с имеющимися соматическими заболеваниями (например, артериальной гипертензией, заболеваниями сердца, легких, раком или диабетом).
Являются ли антибиотики эффективным средством профилактики и лечения инфекции 2019‑nCoV?
Нет. Антибиотики не действуют на вирусы, они активны только в отношении бактериальных инфекций. Заболевание COVID‑19 имеет вирусную природу, поэтому антибиотики неэффективны. Не следует пользоваться антибиотиками для профилактики или лечения COVID‑19. Их применение допускается только по назначению врача для лечения бактериальной инфекции.
Имеются ли в настоящее время лекарственные препараты или терапия, позволяющие предупреждать или лечить COVID-19?
Ряд средств западной медицины, а также традиционных народных или домашних средств может способствовать улучшению самочувствия и облегчению симптомов заболевания COVID-19, тем не менее, в настоящее время нет фактических данных, которые бы могли свидетельствовать о том, что действие какого либо из имеющихся препаратов позволяет предотвратить или лечить данное заболевание. ВОЗ не рекомендует проводить самолечение с помощью каких бы то ни было лекарственных препаратов, включая антибиотики, с целью профилактики или лечения инфекции COVID-19. В то же время ведутся клинические испытания ряда средств как западной, так и традиционной народной медицины. ВОЗ продолжит публиковать обновленные сведения по мере появления клинических данных.
Это тот же вирус, который вызывает атипичную пневмонию (ТОРС)?
Следует ли мне носить маску, чтобы защитить себя?
Вам следует носить маску только в том случае, если у вас есть симптомы COVID‑19 (особенно кашель) или если вы осуществляете уход за человеком, который может быть болен COVID‑19. Одноразовые маски нельзя использовать повторно. Если у вас нет симптомов заболевания или вы не осуществляете уход за заболевшим человеком, использование маски будет нерациональным. В настоящее время в мире отмечается дефицит масок, поэтому ВОЗ призывает всех к бережливому использованию.
ВОЗ выступает за рациональное применение медицинских масок, позволяющее избежать расходования ценных ресурсов, а также неправильного использования масок (см. Рекомендации по применению масок).
К числу наиболее эффективных мер защиты собственного здоровья и здоровья окружающих от COVID‑19 относится частое мытье рук, прикрывание носа и рта сгибом локтя или салфеткой при кашле, а также поддержание дистанции не менее 1 метра с людьми, которые кашляют или чихают. Более подробные сведения представлены в разделе об основных мерах предосторожности для защиты от новой коронавирусной инфекции.
Как надевать, использовать, снимать и утилизировать маску
- Использовать маску следует только медицинским работникам, лицам, осуществляющим уход, и лицам с симптомами респираторного заболевания, такими как высокая температура и кашель.
- Перед тем как взять маску в руки, обработайте их спиртосодержащим средством или вымойте с мылом.
- Осмотрите маску, чтобы убедиться в отсутствии прорех и повреждений.
- На маске имеется металлическая вставка, возьмите маску вставкой вверх.
- Расположите маску внешней стороной от себя (ярко окрашенная сторона).
- Наденьте маску на лицо. Изогните металлическую вставку или фиксирующий зажим по форме носа.
- Потяните за нижний край маски, чтобы она закрыла рот и подбородок.
- Снимите маску после применения; удерживайте маску за эластичные заушные петли и не прикасайтесь ею к лицу или одежде, так как использованная маска может быть загрязнена микроорганизмами.
- Сразу после использования выбросьте маску в закрывающийся контейнер.
- После прикосновения к маске или ее выбрасывания следует произвести гигиеническую обработку рук: воспользуйтесь спиртосодержащим средством, а при очевидном загрязнении рук вымойте их с мылом.
Сколько длится инкубационный период COVID‑19?
Инкубационный период – это период времени между заражением и появлением клинических симптомов болезни. Согласно большинству оценок, продолжительность инкубационного периода COVID‑19 колеблется в пределах от 1 до 14 дней и чаще всего составляет около пяти дней. Эти оценки будут уточняться по мере поступления новых данных.
Может ли человек заразиться COVID-19 от животного?
Коронавирусы составляют обширное семейство вирусов и широко распространены у животных. Заражение людей этими вирусами с последующей передачей другим людям происходит время от времени. Например, установлен факт заражения людей ТОРС‑КоВ от цивет, а БВРС‑КоВ – от одногорбых верблюдов. Возможный источник 2019‑nCoV среди животных пока не установлен.
В качестве меры индивидуальной защиты, например, при посещении рынков, на которых торгуют живностью, следует избегать непосредственного контакта с животными, а также касания поверхностей, с которыми соприкасаются животные. Следует строго соблюдать правила обеспечения безопасности продуктов питания. При работе с сырым мясом, молоком, органами животных следует проявлять осторожность во избежание перекрестного загрязнения других продуктов, не прошедших термическую обработку, и, кроме того, следует воздерживаться от употребления сырых или полусырых продуктов животного происхождения.
Могу ли я заразиться COVID‑19 от домашнего животного?
Известно об одном случае инфицирования собаки в Гонконге, тем не менее, к настоящему моменту данные о возможности заражения COVID‑19 от собак, кошек или других домашних животных отсутствуют. COVID‑19 преимущественно распространяется через взвешенные в воздухе частицы, которые образуются, когда заболевший человек кашляет, чихает или разговаривает. Чтобы обезопасить себя, необходимо часто и тщательно мыть руки.
ВОЗ продолжает проводить тщательный мониторинг результатов новых исследований, посвященных как данному, так и другим аспектам COVID‑19, и будет публиковать обновленные результаты по мере их появления.
Как долго вирус выживает на поверхностях?
Длительность выживания вируса 2019‑nCoV на поверхностях пока точно не установлена, однако предполагается, что по этому параметру он схож с другими представителями семейства коронавирусов. По данным исследований (включая предварительные о возбудителе COVID-19), вирус сохранять жизнеспособность на поверхностях от нескольких часов до нескольких дней. Конкретные сроки зависят от ряда условий (например, тип поверхности, температура и влажность окружающей среды).
Если вы подозреваете, что на какой-то поверхности может присутствовать вирус, для уничтожения микроорганизмов и защиты себя и окружающих обработайте ее обычным дезинфицирующим средством. Не забывайте обрабатывать руки спиртосодержащим средством или мыть их с мылом. Не прикасайтесь к глазам, рту или носу.
Безопасно ли получать посылки из района, в котором зарегистрированы случаи заболевания COVID-19?
Да. Вероятность того, что инфекция может передаваться от заболевшего человека через заказанные товары, низка, равно как и риск заражения вирусным возбудителем COVID-19 от упаковки, которая подвергалась перемещению, перевозке и находилась под воздействием различных погодных и температурных условий.
Чего мне не следует делать?
Нижеперечисленные меры НЕ ПОМОГАЮТ бороться с COVID‑19 и могут причинить вред:
- курение;
- одновременное ношение нескольких масок;
- антибиотики (см. Имеются ли в настоящее время лекарственные препараты или терапия, позволяющие предупреждать или лечить COVID-19? ).
Если у вас высокая температура, кашель и затрудненное дыхание, то для уменьшения риска осложнения инфекции необходимо как можно быстрее обратиться за медицинской помощью и сообщить медицинскому специалисту о посещенных за последнее время местах.
- 684
- 0,6
- 0
- 2
Хотя основное назначение систем CRISPR/Cas состоит в обеспечении защиты от вирусов клеток бактерий и архей, сами вирусы прокариот могут использовать эти системы для конкурентной борьбы друг с другом
Гипертермофильные археи и их вирусы
Классической функцией систем CRISPR/Cas является защита клеток бактерий и архей от вирусов и других мобильных элементов . Впрочем, описана масса случаев, в которых варианты этой системы присутствуют в составе бактериофагов, плазмид и транспозонов.
Группа исследователей во главе с Мартом Круповичем из Института Пастера (Франция) провела глубокий анализ спейсеров в локусах CRISPR архей рода Saccharolobus (раньше он был известен как Sulfolobus) с помощью высокопроизводительного секвенирования [5]. Для анализа были взяты как образцы, полученные непосредственно из природных местообитаний этих архей, так и образцы культур Saccharolobus, выращенных из этих же образцов. Анализ разнообразия спейсеров гипертермофильных архей принес несколько интересных результатов.
Во-первых, оказалось, что спейсеры архей рода Saccharolobus, взятых из разных мест, различаются и соответствуют именно тем вирусам, с которыми археи сталкиваются в природных условиях. Следовательно, с помощью анализа спейсеров гипертермофильных архей можно установить биогеографию поражающих их вирусов.
В-третьих, выяснилось, что самые многочисленные спейсеры в образцах принадлежат вовсе не археям, а поражающим их вирусам, которые используют эти спейсеры, а также белки Cas археи-хозяина в конкурентной борьбе друг с другом. Но обо всем по порядку.
CRISPR/Cas как механизм конкуренции близкородственных вирусов
Однако откуда происходят отсеквенированные спейсеры — из геномов архей, поражающих их вирусов или других мобильных генетических элементов? Лишь для приблизительно 6% спейсеров удалось установить исходные последовательности (протоспейсеры), из которых они возникли. Спейсеры архей из Беппу соответствуют 53 вирусным геномам, которые были обнаружены в разных частях планеты, однако бóльшая часть спейсеров приходится именно на те вирусы, которые также обитают в Беппу. Действительно, нужнее всего археям спейсеры против тех вирусов, с которыми они постоянно контактируют.
Стоит отметить, что геномы SPV1 и SPV2 очень близки, и в них содержатся фрагменты, ортологичные спейсерам, направленным против другого вируса. Если спейсеры вируса будут идентичны участкам его собственного генома, то вирус может уничтожить сам себя. Чтобы избежать такого исхода, участки, ортологичные спейсерам, несут точечные мутации или делеции, препятствующие их распознаванию crРНК. Примечательно, что, хотя в геномах архей тоже есть спейсеры, нацеленные против SPV1 и SPV2, они менее специфичны и нацелены против обоих вирусов одновременно. А вот спейсеры самих вирусов действуют строго против вируса-конкурента.
Исследователи не остановились на SPV1 и SPV2 и продолжили поиск мини-CRISPR в геномах других вирусов, содержащихся в образцах. Поиск принес свои плоды: по меньшей мере 15 вирусов архей, отличных от SPV1 и SPV2, но близких к ним, имеют собственные мини-CRISPR, причем из 26 спейсеров, суммарно входящих в их состав, 18 нацелены на разные участки геномов SPV1 и SPV2. Мини-CRISPR были выявлены и у некоторых других, неродственных вирусов архей.
Таким образом, ученым удалось выявить еще один механизм, который вирусы, поражающие один и тот же вид, используют в конкурентной борьбе друг с другом. Он же может лежать в основе феномена исключения суперинфекции: клетку заражает только один из вирусов-конкурентов, но не два вируса одновременно. Важно отметить, что вирус SPV1 не относится к числу литических, то есть не вызывает быструю гибель клетки, а довольно долгое время может мирно с ней сосуществовать. Поскольку SPV1, содержащийся внутри клетки, не убивает ее и обеспечивает защиту от SPV2, подобные отношения между SPV1 и клеткой археи можно рассматривать как своеобразный случай взаимовыгодного симбиоза. Более того, необходимость точечных замен и делеций для предотвращения действия вирусных CRISPR против собственного генома служит дополнительным стимулом повышения разнообразия и эволюции вирусов.
Вирусные мини-CRISPR: что дальше?
Будем надеяться, что дальнейшие исследования вирусных CRISPR-систем помогут разрешить эти вопросы.
Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…
В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.
Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.
Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:
Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.
Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).
Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.
Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.
Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.
Если мы внедрим свой код в позицию точно между инструкциями, то сможем сохранить контекст (стек, флаги) и, выполнив код вируса, восстановить все обратно, вернув управление программе-хосту. Конечно, с этим тоже могут быть проблемы, если используются средства контроля целостности кода, антиотладка и т.п., но об этом тоже во второй статье. Для поиска такой позиции нам необходимо вот что:
- поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
- определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
- переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
- повторять, пока не решим остановиться
Это минимальный функционал, необходимый для того, чтобы не попасть в середину инструкции, а функция, которая принимает указатель на байтовую строку, а в ответ отдает длину инструкции, называется дизассемблером длин. Например, алгоритм заражения может быть таким:
- Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
- Читаем свой код (код тела вируса).
- Берем несколько первых инструкций из файла-жертвы.
- Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
- Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
- Создаем новую секцию, записываем туда код вируса и правим заголовок.
- На место этих первых инструкций кладем переход на код вируса.
Это вариант вполне себе корректного вируса, который может внедриться в исполняемый файл, ничего не сломать, скрыто выполнить свой код и вернуть исполнение программе-хосту. Теперь, давайте его ловить.
Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.
Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:
Как мы увидели, для быстрого и точного сравнения детектору необходимы сами байты сигнатуры и ее смещение. Или, другим языком, содержимое кода и адрес его расположения в файле-хосте. Поэтому понятно, как развивались идеи сокрытия исполняемого кода вирусов – по двум направлениям:
- сокрытие кода самого вируса;
- сокрытие его точки входа.
Сокрытие кода вируса в результате вылилось в появление полиморфных движков. То есть движков, позволяющих вирусу изменять свой код в каждом новом поколении. В каждом новом зараженном файле тело вируса мутирует, стараясь затруднить обнаружение. Таким образом, затрудняется создание содержимого сигнатуры.
Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.
Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.
Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.
Читайте также: