Борьба с вирусом блокирующим

Новая коронавирусная инфекция была зафиксирована в Китае в конце 2019 года.

Новая коронавирусная инфекция была зафиксирована в Китае в конце 2019 года.

За несколько месяцев болезнь распространилась более чем на 140 стран.

За несколько месяцев болезнь распространилась более чем на 140 стран.

Всемирная организация здравоохранения признала вспышку COVID-19 пандемией.

Всемирная организация здравоохранения признала вспышку COVID-19 пандемией.

Ученые из многих стран мира приступили к разработке вакцины от коронавируса.

Ученые из многих стран мира приступили к разработке вакцины от коронавируса.

В России уже создали три прототипа вакцины, а также препарат для лечения COVID-19.

В России уже создали три прототипа вакцины, а также препарат для лечения COVID-19.

Однако появления готовой вакцины стоит ждать не ранее чем через год, предупреждали в Минздраве.

Однако появления готовой вакцины стоит ждать не ранее чем через год, предупреждали в Минздраве.

При этом отечественные ученые уже расшифровали геном коронавируса.

При этом отечественные ученые уже расшифровали геном коронавируса.

Накануне американские медики опубликовали первые результаты испытаний вакцины.

Накануне американские медики опубликовали первые результаты испытаний вакцины.

В процессе разработки ученые руководствовались опытом борьбы с вирусами SARS и MERS.

В процессе разработки ученые руководствовались опытом борьбы с вирусами SARS и MERS.

Новая коронавирусная инфекция была зафиксирована в Китае в конце 2019 года.

За несколько месяцев болезнь распространилась более чем на 140 стран.

Всемирная организация здравоохранения признала вспышку COVID-19 пандемией.

Ученые из многих стран мира приступили к разработке вакцины от коронавируса.

В России уже создали три прототипа вакцины, а также препарат для лечения COVID-19.

Однако появления готовой вакцины стоит ждать не ранее чем через год, предупреждали в Минздраве.

При этом отечественные ученые уже расшифровали геном коронавируса.

Накануне американские медики опубликовали первые результаты испытаний вакцины.

В процессе разработки ученые руководствовались опытом борьбы с вирусами SARS и MERS.

Поделиться сообщением в

Внешние ссылки откроются в отдельном окне

Внешние ссылки откроются в отдельном окне

В четверг утром российское правительство поручило Росавиации прекратить с 27 марта регулярное и чартерное авиасообщение с другими странами, за исключением полетов для вывоза россиян из-за границы.

Правительство также приняло решение, начиная с сегодняшнего дня, проводить тестирование на коронавирус всех граждан, прибывающих из стран, где зафиксированы вспышки заболевания.

В числе других мер - перевод максимально возможного числа сотрудников на удаленную работу, а также приостановка работы торговых центров и кинотеатров в российских регионах.

Российский президент Владимир Путин в среду объявил следующую неделю нерабочей и сообщил, что голосование по поправкам в Конституцию перенесут с 22 апреля из-за ситуации с коронавирусом в России.

В своем обращении Путин также предложил ввести налог на дивиденды, выводимые на зарубежные счета, в размере 15%, и налог в размере 13% на банковские вклады для граждан, чей общий объем вкладов или инвестиций превышает 1 млн рублей.

Мэр Москвы Сергей Собянин заявил, что на следующей неделе в Москве введут новые ограничения. В частности, он предложил закрыть рестораны и кафе, крупные торговые центры и парки.

"Мы только в начале этого пика заболеваемости, мы будем надеяться, что он будет более плавным и более безболезненным, чем мы наблюдаем в других странах", - сказал Собянин.

Это заявление прозвучало вскоре после того, как городской штаб по борьбе с коронавирусом объявил, что в Москве скончались двое пациентов, которые были заражены коронавирусной инфекцией.

Что происходит в других странах:

• Испания обновила рекорд смертности от коронавируса - за сутки умерли 738 человек. Парламент поддержал предложение правительства о продлении режима повышенной готовности еще на полмесяца - до 11 апреля.
• Власти Италии ужесточили наказание за нарушение правил карантина - за несоблюдение режима самолизоляции можно получить штраф в размере нескольких тысяч евро и до пяти лет тюрьмы.
• В США число жертв коронавируса превысило тысячу человек. В среду вечером власти Вашингтона приняли решение ввести карантин на территории всего округа Колумбия до 24 апреля. Людей просят оставаться дома, все массовые собрания теперь под запретом.
• В Британии в среду был зафиксирован самый большой суточный рост числа подтвержденных случаев заражения - количество инфицированных увеличилось почти на 1,5 тысячи человек. В среду также стало известно о смерти 21-летней девушки от осложнений, вызванных коронавирусом; никаких сопутствующих заболеваний у нее не было. Коронавирус также обнаружили у наследника престола, принца Чарльза. Сообщается, что у него наблюдаются слабые симптомы.
• Франция из-за коронавируса решила вывести войска из Ирака. Как сообщает газета Figaro со ссылкой на заявление французского генштаба, вывод начнется уже сегодня.
• Власти Израиля рассматривают возможность введения полной блокады для предотвращения распространения коронавируса в том случае, если уже принятые меры не приведут к сокращению количества заражений.

Число зараженных коронавирусом во всем мире приближается к полумиллиону. Четверть населения планеты фактически находится на карантине. Вирус унес жизни 21 тысячи человек во всеми мире.

В Москве вступает в силу домашний режим для людей старше 65 лет и страдающих хроническими заболеваниями. Им рекомендовано не ходить на работу, а из дома выходить только в случае крайней необходимости. Ограничения будут действовать до 14 апреля.

В четверг стартует экстренный саммит "Большой двадцатки" - он пройдет в формате видеоконференции и будет посвящен борьбе с пандемией коронавируса и ее влиянием на мировую экономику.

Басманный суд Москвы рассмотрит ходатайство следствия о продлении ареста четырем бывшим полицейским УВД по Западному округу Москвы по делу о фальсификации доказательств против журналиста Ивана Голунова.

Вылазка Владимира Путина в инфекционную больницу и его антикризисный пакет мер должны взбодрить не только обывателей, но и рейтинги президента, пишут в редакционной колонке журналисты газеты "Ведомости".

Издание отмечает, что 24 и 25 марта президент почти полностью посвятил коронавирусу. Сначала он съездил в больницу в Коммунарке, а на следующий день объявил о новых мерах поддержки и граждан, и малого бизнеса в период кризиса.

"Для обывателя такая щедрость и справедливость президента куда понятнее и приятнее, чем анонсированные прежде правительством меры", - пишут "Ведомости".

Эффектный выход Путина на фронт борьбы с коронавирусом, продолжает издание, будет тем более кстати, что планировавшееся на 22 апреля голосование по поправкам в Конституцию президент предложил из-за коронавируса перенести.

Громкие выступления и щедрые обещания должны простимулировать рост президентских рейтингов: однако центральная роль в борьбе с вирусом несет и риски: статистика говорит, что пик эпидемии впереди и до победы над коронавирусом еще далеко.

"Впрочем, и до голосования по президентским поправкам в Конституцию - тоже", - заключают "Ведомости".

Сенат США в ночь на четверг одобрил самый большой в истории страны пакет экономической помощи на фоне разрастающейся эпидемии коронавируса. Общий объем государственной помощи составит 2 трлн долларов.

В эту сумму войдет финансовая поддержка каждого налогоплательщика - американцы, зарабатывающие менее 75 тысяч долларов в год, получат чек на $1200, семьи - на $2400. По 500 долларов будет выделено каждому ребенку.

На 600 долларов в неделю будет увеличено пособие по безработице, сейчас составляющее $450 каждые семь дней в течение полугода. Предусмотрены меры поддержки малого и среднего бизнеса.

По настоянию демократов в Конгрессе отели и клубы, принадлежащие президенту Дональду Трапму, не будут иметь права обратиться за государственной помощью.

Ожидается, что Палата представителей утвердит пакет экономической помощи в пятницу, 28 марта, а затем законопроект будет передан для одобрения президенту Трампу.

Австралиец Брентон Таррант, обвиняемый в совершении теракта в мечетях новозеландского города Крайстчерч, неожиданно изменил свою позицию и признал себя виновным по всем пунктам, в том числе в убийстве 51 человека, сообщил комиссар полиции Майк Буш.

По его словам, Тарран признал вину по 51 обвинению в убийстве, 40 обвинениях в покушении на убийство и одному обвинению в совершении теракта. Обвиняемый выступл на заседании суда по видеосвязи из тюрьмы Окленда.

Стрельба в двух мечетях Крайстчерча, в результате которой погиб 51 человек и еще около 50 получили ранения, произошла 15 марта прошлого года.

Это нападение стало самым массовым терактом за всю историю Новой Зеландии, где традиционно уровень преступности относительно низкий.

Почитайте о том, как жители Франции живут в условиях жестких карантинных мер.

Дайджест подготовил Олег Михйалов

К сожалению, долгое время лекарств для борьбы с вирусами не было. Первые средства для лечения вирусных инфекций появились только в 50-х годах двадцатого века, и с тех пор не прекращается поиск новых противовирусных препаратов, эффективных и безопасных. Так, в 1957 году в Лондоне был открыт интерферон — некое вещество, которое помогало мышам не поддаваться заражению вирусами. Открытие положило начало изучению противовирусного иммунитета, и эти знания активно применяются в борьбе с вирусами.

Противовирусные препараты — эффективное оружие против ОРВИ и гриппа

Все современные противовирусные препараты можно условно разделить на две группы: средства, которые действуют на сам вирус, и препараты, которые активизируют или имитируют собственную иммунную защиту организма.

Для противовирусных средств механизм действия связан со строением и функционированием вирусной частицы. Внутренняя часть вируса обычно содержит ДНК или РНК — нуклеиновые кислоты, в которых хранится информация о вирусе. Они окружены белковой оболочкой — капсидом, а внутри и снаружи капсида могут быть прикреплены различные ферменты или сигнальные молекулы.

Противовирусные препараты прямого действия могут воздействовать на причину инфекции несколькими путями:

• Аналоги нуклеозидов, например ацикловир или ламивудин, мешают вирусу размножаться внутри клетки. Эти средства похожи на компоненты нуклеиновых кислот и встраиваются в них при попытке вируса воспроизвести себе подобных. В результате размножение вируса подавляется.
• Блокаторы активных белков вируса. Вирусы нуждаются в ферментах на всех этапах своей жизни: и при проникновении в клетку, и при размножении. При их блокировке вирус либо не способен пройти сквозь клеточную мембрану, либо подавляется репродукция вируса. Примером могут быть блокаторы протеазы или блокаторы нейраминидазы.

Организм человека способен бороться с вирусной инфекцией самостоятельно, для этого у него есть два вида защиты. Неспецифическая защита, которой все равно, с каким вирусом бороться, представлена в виде активных веществ — интерферонов. Специфический иммунитет, наоборот, направлен на конкретную инфекцию, однако для его работы организм должен сначала встретиться с возбудителем. Именно специфический иммунитет лежит в основе вакцин, например от полиомиелита или краснухи.

Противовирусные препараты при простуде можно условно разделить на 5 групп. Две из них влияют на инфекцию с помощью противовирусного иммунитета, остальные блокируют ферменты на поверхности вируса — гемагглютинин, нейраминидазу и М2-белок. Рассмотрим каждую из этих групп подробнее.

Блокаторы М2-каналов

М2-ингибиторы являются одними из первых препаратов, специфичных против вируса гриппа. Сюда относятся производные адамантана, амантадин и римантадин, открытые в 60-х годах ХХ века. Это трициклические амины, которые подавляют размножение вируса гриппа А. Они действуют на мембранный белок М2, который расположен на поверхности вирусного капсида и необходим для высвобождения вируса. К сожалению, в настоящее время все больше вирусов гриппа имеют устойчивость к этой группе препаратов из-за мутаций М2-протеина, в связи с чем FDA не рекомендует их к применению [2] .

Ингибиторы нейраминидазы

Нейраминидаза — это фермент на поверхности вируса гриппа, который играет важную роль при проникновении в клетку, а также при высвобождении новых вирусных частиц. Блокирующие этот фермент препараты, осельтамивир и занамивир, применяются при лечении гриппа А и В. Хотя устойчивость вирусов к этим средствам возможна, она встречается реже, чем в группе блокаторов М2-белка.

Ингибиторы гемагглютинина

Этот препарат был зарегистрирован в 1974 году и прошел не только проверку временем, но и многочисленные клинические испытания. С 2011 года препарат участвует в масштабном исследовании АРБИТР на базе 15 медицинских центров [3] . Предварительные результаты показывают уменьшение тяжести заболевания на фоне приема умифеновира, уменьшение выраженности катарального и интоксикационного синдромов. Отмечена хорошая переносимость препарата пациентами.

Лейкоцитарные интерфероны

Представлены в основном препаратами на основе рекомбинантного человеческого интерферона альфа. Интерфероны — это естественный механизм подавления вирусной инфекции в организме, даже если организм человека впервые встречается с этим вирусом. Поэтому назначение интерферона обычно необходимо при тех вирусных инфекциях, для которых не разработано специфических противовирусных препаратов. Эти препараты получают из лейкоцитов донорской крови или с помощью бактериальных культур; выпускаются в форме капель, геля, суппозиториев.

Индукторы интерферона

Это средства, которые стимулируют выработку интерферона в организме. Таким образом усиливается противовирусный потенциал собственного иммунитета человека. К этой группе можно отнести тилорон, кагоцел и другие. Нередко индукторы интерферона используют в комбинации со специфическими противовирусными препаратами.

Каждая группа препаратов имеет свои плюсы и минусы, и выбирать лучшие противовирусные препараты нужно с учетом клинической ситуации. Для примера можно сравнить ряд популярных противовирусных препаратов для взрослых и детей.

Включен в группу противовирусных средств. Действующее вещество — умифеновир — отвечает за специфическое подавление вирусов гриппа А и В, а также действует и на другие вирусы-возбудители ОРВИ: коронавирус, риновирус, аденовирус, респираторно-синцитиальный вирус и вирус парагриппа. Благодаря индукции интерферона и стимуляции клеточных реакций иммунитета препарат увеличивает сопротивляемость организма к вирусным инфекциям.

При лечении гриппа и ОРВИ у взрослых эффект препарата особенно выражен в начальном остром периоде болезни и проявляется уменьшением сроков и тяжести проявлений заболевания, более скорым выведением вируса.

• профилактика и лечение гриппа А и В, а также других ОРВИ у детей и взрослых;
• комплексная терапия рецидивирующего герпеса;
• профилактика инфекционных осложнений после операции;
• комплексное лечение острых кишечных инфекций, вызванных ротавирусом, у детей старше 6 лет.

Препарат противопоказан при гиперчувствительности к компонентам, в первом триместре беременности и в период грудного вскармливания. Ограничения по возрасту различаются в зависимости от формы препарата. Во втором и третьем периоде беременности применять средство необходимо с осторожностью, по согласованию с врачом. Побочные эффекты при приеме встречаются редко, возможны аллергические реакции.

В случае эпидемии ОРВИ, в том числе гриппа, для неспецифической профилактики препарат применяют дважды в неделю в разовой дозе в течение 3 недель.

Для лечения гриппа и других ОРВИ прием препарата желательно начать с момента первых симптомов заболевания, не позднее 3 дней от начала болезни. Курс приема составляет 5 дней, в разовой дозе 4 раза в сутки (каждые 6 часов).

Стоимость* курса лечения гриппа для взрослого составит 926 рублей (2 упаковки капсул по 200 мг).

Таблетки, содержащие 50 мг умифеновира, обойдутся в 156 рублей за упаковку из 10 таблеток или 268 рублей за 20 таблеток. Капсулы 100 мг в среднем будут стоить от 235 рублей (10 штук) до 861 рубля (40 штук). Усиленная формула по 200 мг обойдется в 463 рубля за 10 капсул.

• профилактика и лечение гриппа и других ОРВИ;
• лечение вирусных гепатитов А, В и С;
• лечение инфекций, вызванных вирусами герпеса и цитомегаловирусом;
• комплексное лечение аллергических и вирусных энцефаломиелитов, урогенитального и респираторного хламидиоза, а также туберкулеза легких.

Для лечения взрослых (старше 18 лет) при гриппе и других ОРВИ назначают по 125 мг тилорона в сутки первые 2 дня лечения, затем по 125 мг через день. На курс нужно 6 таблеток по 125 мг.

Для курса профилактики гриппа и других ОРВИ тоже необходимо 750 мг препарата: принимать по 1 таблетке (125 мг) раз в неделю в течение 6 недель.

Стоимость* курса лечения гриппа для взрослого человека составит 583 рубля (упаковка из 6 капсул по 125 мг). 10 капсул в той же дозировке обойдутся в 926 рублей, а 10 капсул по 60 мг стоят 552 рубля.

Относится к группе противовирусных средств. Действующее вещество — римантадин. Средство активно в отношении вируса гриппа А и препятствует ранней стадии репликации вируса в клетке.

Препарат имеет противопоказания: заболевания печени и почек, тиреотоксикоз, беременность и кормление грудью, а также гиперчувствительность к препарату. Отмечаются побочные действия, такие как расстройства со стороны пищеварительной системы и ЦНС, аллергические реакции. Возможна лекарственная устойчивость вируса к римантадину.

На курс лечения гриппа для взрослого потребуется одна упаковка таблеток (20 штук) в дозировке 50 мг. Стоимость* составляет до 216 рублей за упаковку в зависимости от производителя.

Осельтамивир показан для лечения гриппа у взрослых и детей в возрасте старше 1 года. Он используется для профилактики гриппа у детей старше 1 года, а также у взрослых и подростков в возрасте старше 12 лет, которые относятся к группам повышенного риска.

• гиперчувствительности к осельтамивиру или любому компоненту препарата;
• тяжелой печеночной недостаточности;
• почечной недостаточности в терминальной стадии;
• возрасте до 1 года.

Во время беременности и грудного вскармливания препарат рекомендовано применять с осторожностью, так как не было проведено контролируемых исследований в группе беременных женщин.

Принимать средство можно во время еды или независимо от приема пищи. Начинать лечение рекомендуется не позже 2 суток от начала развития симптомов. Дозировка зависит от возраста человека, а для детей важен также и вес. При поражении почек может потребоваться индивидуальное назначение дозы препарата.

В случае профилактики после контакта с больным для взрослых и детей с 8 лет назначают по 75 мг осельтамивира 1 раз в день, курс — не менее 10 дней. Во время сезонной эпидемии гриппа профилактическая дозировка препарата составляет 75 мг 1 раз в сутки в течение 6 недель.

Взрослому человеку для лечения гриппа потребуется одна упаковка из 10 капсул на курс, ее стоимость* составляет 1153 рубля.

Таким образом, на сегодняшний день медицина предлагает немалый выбор средств для борьбы с вирусами. Можно подобрать подходящий сильный противовирусный препарат почти для любого возраста и бюджета. Однако при выборе необходимо учитывать, на что направлено действие препарата, насколько он безопасен и доказана ли его эффективность. Отдавая предпочтение безопасности препарата и тщательно следуя инструкции, можно ускорить победу над вирусом и уберечь себя от осложнений.

*Информация о ценах не является публичной офертой.

Своевременное лечение простуды противовирусными препаратами может помочь ускорить выздоровление, снизить тяжесть симптомов, а главное — сократить вероятность развития осложнений.

Справиться с простудой и гриппом можно при помощи комплексной терапии, назначенной врачом.

Противовирусный препарат АРБИДОЛ ® может быть использован в комплексной терапии целого ряда вирусных заболеваний, в том числе гриппа и других ОРВИ.

Запущенный грипп может спровоцировать развитие тяжелых осложнений, таких как воспаление околоносовых пазух и т.д.

В период эпидемии гриппа и других ОРВИ противовирусные препараты способны помочь повысить сопротивляемость организма к инфекциям.

Профилактика гриппа и других ОРВИ подразумевает целый комплекс мероприятий, в который входит в том числе вакцинация, прием иммуномодулирующих и противовирусных препаратов и прочее.

Мно­гие, к со­жа­ле­нию, при прос­ту­де или грип­пе не об­ра­ща­ют­ся к вра­чу, на­зна­чая се­бе те ле­кар­ст­ва, что ре­ко­мен­до­вал спе­ци­а­лист во вре­мя про­ш­лой или по­зап­ро­ш­лой бо­лез­ни. Од­на­ко сто­ит пом­нить, что за­бо­ле­ва­ние мо­жет быть вы­зва­но раз­ны­ми при­чи­на­ми и иметь раз­ное те­че­ние, а не­нуж­ные в дан­ный мо­мент ле­кар­ст­ва не толь­ко не по­мо­гут, но и усу­гу­бят со­сто­я­ние. Не сто­ит за­ни­мать­ся са­мо­ле­че­ни­ем, об­ра­щай­тесь в по­лик­ли­ни­ку.

Филовирусы Марбург и Эбола обычно изучаются параллельно — из-за практически идентичной структуры. Оба вызывают высокую смертность, передаются через жидкости организма, и против них нет зарегистрированных лекарств. Во всех случаях симптомы проявляются не сразу (примерно через 7—10 дней), и всё это временя человек ничего не подозревает, заражая других.

Против данных микроорганизмов уже существует вакцина: препарат на основе антигенов либо ослабленных частей вируса. Однако это не лекарство, а профилактика: даже если вакцинация была своевременно проведена, она не всегда помогает. Для действенной борьбы с заболеванием ученые из НИОХ СО РАН планируют использовать ингибиторы — вещества, блокирующие ту или иную стадию жизненного цикла патогенного организма.

Обычно ингибитор встраивается в вирус или связывается, например, с его жизненно важными белками. У патогенного организма всё работает как часы: малейшее вмешательство может привести к нарушению работы и вызвать гибель. На разработку новых эффективных противовирусных препаратов с более широким спектром активности был выделен грант РНФ.

— Когда вирус попадает в организм, то проходит там несколько стадий: прикрепление к клетке хозяина, проникновение, размножение и выход к другой клетке, — рассказывает научный сотрудник НИОХ СО РАН кандидат химических наук Анастасия Соколова. — Мы не нацелены на конкретную стадию: главное — уничтожить вирус.

Для создания ингибиторов ученые выбрали два вещества: камфору и борнеол. Первая в чистом виде не проявляет противовирусных свойств, но если в нее что-то добавить, внося изменения в структуру, можно получить много соединений против различных заболеваний. Ранее уже было подтверждено: производные камфоры и борнеола проявляют выраженную противовирусную активность в отношении гриппа. Недавно сибирские исследователи провели эксперименты, показавшие, что соединения на основе камфоры ингибируют вирус Марбург на псевдовирусных системах (основанных на рекомбинантных вирусных частицах, которые физиологически практически идентичны природным, но биологически безопасны). Схожесть с Эболой позволяет предположить высокую вероятность победы над обоими микроорганизмами.

- Пока проведены эксперименты только на псевдовирусных системах, содержащих поверхностные гликопротеиды (сложные белки), ответственные за вход вируса в клетку, — поясняет исследовательница. — Такой подход более безопасен, и если соединение ингибирует данную систему, есть предпосылки к победе над болезнетворным агентом.

— Сложно ответить, как именно данные соединения борются с вирусом, ведь исследования только начались, — добавляет Анастасия Соколова. — Чтобы более-менее понять механизм действия препарата против гриппа, у нас ушло около пяти лет. Здесь мы работаем всего год, и пока задача — подтвердить эффективность соединений. На клетках это сделать уже удалось, а на морских свинках — еще нет, так что о клинических испытаниях говорить рано.

Еще одна немаловажная польза такого исследования — предотвращение возможных биотеррористических атак: преднамеренного использования вирусов или бактерий в качестве средства, вызывающего массовые заболевания.

Так, после завершения программы глобальной ликвидации оспы на Земле и отмены вакцинации в 1980 году более половины людей не имеет иммунитета против ортопоксвирусных инфекций. В 1972 году была подписана Конвенция о биологическом оружии, которая запрещала производство и накопление биологического оружия, однако риск биотеррористических атак существует до сих пор.

— С низкомолекулярными (весом меньше 1 000 г/моль) ингибиторами в нашей стране и даже мире ученые работают достаточно редко, что опять же связано с недостатком необходимых лабораторий, — заключает исследовательница. — Также камфора и борнеол — сравнительно недорогое и нетоксичное природное сырье: данные вещества давно используются в косметике и парфюмерии.

Алёна Литвиненко

Фото предоставлено Анастасией Соколовой

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

• обнаружить зараженные ПК в сети;
• найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
• принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

• автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
• исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
• исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
• применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК можно свести к трем основным этапам:

• проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
• проведение оперативного обследования — например поиск характерных процессов или файлов;
• карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика можно проводить тремя способами:

• вручную при помощи снифферов;
• в полуавтоматическом режиме — в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
• автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

• Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
• установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, — в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

• по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
• недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
• высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Включение протоколирования BootCleaner

// Импорт в задание BootCleaner списка файлов, удаленных скриптом