Написание вирусов все о них

Интересно? Просим под кат!

Начнем с времени жизни. Не будем повторять новости о том, что в какой-то организации или компании нашли вирус, который оставался незамеченным… лет. Такое бывает, но обычно такие случаи связаны с целевыми атаками, когда внедрение происходит в малое количество организаций. Обычная же атака вредоносных программ направлена на большое количество частных лиц или компаний и вполне логично, что кто-то рано или поздно обратит внимание на новый троян. Время реакции антивирусов (без облака) составляет примерно два часа, соответственно достаточно большая вероятность того, что вредоносный файл через два-три часа будет уничтожен на зараженных компьютерах.

Сколько же вредоносных программ выпускают в день злоумышленники? Точная цифра никому не известна, в частности потому, что гарантировать, что все вредоносные программы созданные за день в этот день и будут пойманы — нельзя. На анализ в день приходит до миллиона образцов. Сигнатур получается конечно поменьше, но тоже немало:

А теперь о грустном. Вполне логично, что подобная скорость выпуска вредоносных программ, плюс использование злоумышленниками средств необнаружения (перепаковки, обфускации, исключения известных сигнатур и тд) приводят к тому, что какой бы ни был антивирус, но поймать в момент проникновения в сеть 100% вредоносных программ, включая неизвестные он не может. Если кто думает, что это самое грустное, то он не прав. Грустностей две. Первая то, что регуляторы указывают в своих документах, что средством антивирусной защиты является исключительно антивирус (да еще и не использующий даже эвристики), а второе, что специалисты по информационной защите вслед за регуляторами полагают (результат опросов на конференциях), что хороший антивирус может обнаруживать все вредоносные программы в момент проникновения в сеть.

1. Несмотря на широкое использование вирусописателями сервисов типа ВирусТотал — традиционная эвристика позиций не сдает. Так один из двух российских антивирусов обнаруживал Wanna Cry сразу именно эвристикой
2. Поведенческий или превентивный механизм обнаружения вредоносных программ в антивирусе — обязателен. К сожалению пользователи в массе считают, что превентивка в антивирусе — лишнее и приобретают продукты без нее. Типичный пример — результаты голосования за компоненты, которые должны быть в антивирусе
3. Облачные механизмы имеют то преимущество, что обновления правил на них выкладываются сразу и антивирус может мгновенно их применять. По слухам второй российский антивирус также обнаруживал Wanna Cry, но облаком и в результате пострадали компании, в которых облако было отключено или вообще запрещено
4. Антивирус — не волшебник и обнаруживать 100% вредоносных файлов не может. Поэтому для защиты от проникновения вредоносных программ нужно ставить обновления и ограничивать права.

Раз уж мы упомянули об обновлениях, поговорим и о них.

отчет от корпорации Fortinet показал, что во втором квартале 2017 года 90% организаций зафиксировали эксплоиты для уязвимостей, которым было более трех лет. Также исследователи отметили, что спустя 10 лет после исправления дефектов, 60% компаний по-прежнему подвергались соответствующим атакам.

А ведь это после эпидемий Wanna Cry и НеПетя, о которых не писало наверно только самое ленивое СМИ!

Ну ладно, это компании, а как ведут себя пользователи? На это нам отвечает компания Microsoft. Благодаря своей системе сбора информации о пользователях она теперь знает и о том, как себя ведут пользователи антивирусов. Откроем Microsoft Security Intelligence Report Volume 22:

Желтый цвет — установленный и выключенный антивирус. Впечатляет, да? А зеленый — установленный, но не обновляемый.

И кстати число компьютеров без антивируса в последних версиях Windows не означает, что ситуация там лучше, просто на них защитник Windows включен по умолчанию — о чем пользователи могут и не знать.

Примерно такую же статистику дает и утилита CureIt! — не защищено не менее 60 процентов компьютеров. Добавим к этому отсутствие обновлений и пароли по умолчанию и надо удивляться не разгулу шифровальщиков, атому, как мало пострадавших.

Но вернемся на updates.drweb.com. Как вы думаете, какой из видов троянов наиболее популярный? Шифровальщики (Trojan.Encoder)? Майнеры (Trojan.BtcMine)?

Чем они занимаются? Пример

Троянец Trojan.DownLoader23.60762 связывается с управляющим сервером для получения команд, среди которых замечены следующие:

• запустить файл из временной папки на диске зараженного компьютера;
• встроиться в работающий процесс;
• скачать указанный файл;
• запустить указанный исполняемый файл;
• сохранить и передать злоумышленникам базу данных SQLite, используемую Google Chrome;
• удалить файлы cookies;
• перезагрузить операционную систему;
• выключить компьютер.

Вывод. Берегите логи, они залог успешного анализа ИТ-инцидента.

Во сколько происходят атаки? Легенды гласят, что настоящие злоумышленники работают по ночам. Так ли это?

Забавно, но интенсивность атак полностью совпадает максимумами активности сотрудников компаний — приход на работу, время перед обедом и время в конце рабочего дня. Четвертый пик — атаки в ночное время может быть вызван тем, что в это время вероятность обнаружения атаки и реагирования на нее со стороны службы безопасности компании значительно ниже.

Кстати еще одна цифра из уже приведенной ссылки. Между публикацией об уязвимости и началом атак проходит примерно три дня

Вывод — откладывать обновления безопасности на бОльший срок — опасно.

Надеюсь было интересно, если остались вопросы — буду благодарен.

Компьютерное хулиганство

Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась, и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились — или авторы вирусов отсылали их исключительно в антивирусные компании, сообщая при этом, что никуда более вирус не попадёт.

1. Создавать вирусные программы для операционной системы MS-DOS в 1990-х годах было в разы легче, чем для технически более сложной Windows.
2. В законодательствах многих стран появились специальные компьютерные статьи, а аресты вирусописателей широко освещались прессой — что, несомненно, снизило интерес к вирусам у многих студентов и школьников.
3. К тому же у них появился новый способ проявить себя — в сетевых играх. Именно современные игры, скорее всего, сместили фокус интересов и перетянули на себя компьютеризированную молодёжь.

Мелкое воровство

С появлением и популяризацией платных интернет-сервисов (почта, веб, хостинг) компьютерный андеграунд начинает проявлять повышенный интерес к получению доступа в сеть за чужой счет, т.е. посредством кражи чьего-либо логина и пароля (или нескольких логинов и паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.

В последние годы фиксируется постоянно увеличивающееся число троянских программ, ворующих персональную информацию из сетевых игр (игровую виртуальную собственность) с целью её несанкционированного использования или перепродажи. Подобные троянцы особенно широко распространены в странах Азии, особенно в Китае, Корее и Японии.

Криминальный бизнес

Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно создают вредоносные программы в корыстных целях. Для этого они создают вирусные и троянские программы, которые воруют коды доступа к банковским счетам, навязчиво рекламируют какие-либо товары или услуги, несанкционированно используют ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживания спам-бизнеса или организации распределённых сетевых атак с целью дальнейшего шантажа). Диапазон деятельности данной категории граждан весьма широк. Остановимся на основных видах криминального бизнеса в сети.

В результате ретрансляции спама через тысячи (или десятки тысяч) заражённых компьютеров спамеры достигают нескольких целей:

Также именуются DDoS-атаками (Distributed Denial of Service — распределённый отказ в обслуживании). Сетевые ресурсы (например, веб-сервера) имеют ограниченные возможности по количеству одновременно обслуживаемых запросов — это количество ограничено как мощностями самого сервера, так и шириной канала, которым он подключён к интернету. Если количество запросов превышает допустимое, то либо работа с сервером значительно замедлится, либо вообще запросы пользователей будут проигнорированы.

В 2002-2004 годах этот вид криминальной деятельности был весьма распространённым. Затем он пошел на спад, видимо, по причине успешных полицейских расследований (за данные преступления было арестовано как минимум несколько десятков человек по всему миру), а также по причине достаточно успешных технических мер противодействия подобным атакам.

Сначала злоумышленником (или группой лиц) создаётся и распространяется специальная программа, осуществляющая несанкционированные пользователем телефонные звонки или отсылку SMS-сообщений с мобильных телефонов. Заранее или параллельно с этим те же лица регистрирует компанию, от лица которой заключается договор с местным телефонным провайдером об оказании платного телефонного сервиса. Провайдер при этом, естественно, не ставится в известность о том, что звонки будут производиться без ведома пользователя. Далее троянец названивает на платный телефонный номер, телефонная компания выставляет счета на номера, с которых шли звонки, — и отчисляет злоумышленнику оговоренную в контракте сумму.

Внимание злоумышленников может привлечь не только финансовая или банковская, но и любая другая информация, представляющая какую-либо ценность — базы данных, техническая документация и т.п. Для доступа и воровства такой информации в компьютеры-жертвы внедряются специально разработанные троянцы-шпионы.

Злоумышленником разрабатывается троянская программа, шифрующая персональные файлы пользователя. Троянец тем или иным способом внедряется в систему, ищет и шифрует пользовательские данные, а после окончания работы оставляет сообщение о том, что файлы восстановлению не подлежат, а купить программу-расшифровщик можно по указанному в сообщении адресу.

Другой известный метод кибер-шантажа — архивация пользовательских файлов в архив, зашифрованный достаточно длинным паролем. После архивации оригинальные файлы удаляются — и затем следует требование перевода некоторой денежной суммы в обмен на пароль к архиву.

Данный способ кибер-преступления (шифрование данных) является критически опасным с технической точки зрения, поскольку если в других случаях от последствий действия троянской программы можно защититься, то здесь приходится иметь дело со стойкими алгоритмами шифрования. При использовании подобных алгоритмов и ключей (паролей) достаточной длины, задача восстановления файлов без информации от злоумышленника станет технически неразрешимой.

Для обслуживания описанных выше видов криминальной деятельности в интернете кибер-преступниками разрабатываются и распространяются сетевые черви, которые становятся причиной многочисленных интернет-эпидемий. Основной задачей таких червей является установка криминальных троянских программ на максимально большое количество компьютеров в глобальной сети. Примерами таких червей являются нашумевшие в 2004 году Mydoom и Bagle, а в 2006 году — почтовый червь Warezov.

В отличие от массовых атак, рассчитанных на поражение как можно большего числа компьютеров, точечные атаки преследуют совершенно другие цели — заражение сети конкретной компании или организации или даже внедрение специального разработанного троянца-агента в единственный узел (сервер) сетевой инфраструктуры. Под ударом оказываются компании, обладающие достаточно ценной информацией — банки, биллинговые компании (например, телефонные компании) и т.п.

Причина атак на банковские серверы или сети очевидна: получение доступа к банковской информации, организация несанкционированного перевода денежных средств (иногда — весьма крупных сумм) на счёт или счета злоумышленника. При атаках на биллинговые компании целью выступает доступ к клиентским счетам. Целью точечных атак может являться любая ценная информация, хранящаяся на серверах сети — клиентские базы данных, финансовая и техническая документация, — всё, что может представлять интерес для потенциального злоумышленника.

Под атаками чаще всего оказываются крупные компании, обладающие критически важной и ценной информацией. Сетевая инфраструктура таких компаний достаточно хорошо защищена от внешних атак, и без помощи изнутри компании проникнуть в неё практически невозможно. По этой причине в большинстве случаев подобные атаки осуществляются либо сотрудниками атакуемых организаций (инсайдерами), либо при их непосредственном участии.

Полулегальный бизнес

Производится внедрение в систему специальных рекламных компонентов, которые периодически скачивают рекламную информацию с особых серверов и показывают её пользователю. В большинстве случаев (но не всегда) внедрение в систему происходит незаметно для пользователя, а рекламные окна всплывают только при работе интернет-браузера (так рекламные системы маскируются под рекламные баннеры веб-сайтов).

Стоит также отметить, что в некоторых случаях удалить легальные рекламные системы без нарушения работы основного софта невозможно. Подобным образом производители Adware защищаются от деинсталляции.

Для привлечения пользователей на платные веб-сайты часто также используются различные программы, которые де-юре не попадают в разряд вредоносных, поскольку они никак не скрывают своего присутствия, а на платный ресурс пользователь попадает, только положительно ответив на соответствующий вопрос. Однако такие программы часто устанавливаются в систему без ведома пользователя, например, при посещении веб-сайтов сомнительного содержания. Затем они настойчиво предлагают пользователю посетить тот или иной платный ресурс.

Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:

Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

Если мы внедрим свой код в позицию точно между инструкциями, то сможем сохранить контекст (стек, флаги) и, выполнив код вируса, восстановить все обратно, вернув управление программе-хосту. Конечно, с этим тоже могут быть проблемы, если используются средства контроля целостности кода, антиотладка и т.п., но об этом тоже во второй статье. Для поиска такой позиции нам необходимо вот что:

• поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
• определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
• переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
• повторять, пока не решим остановиться

Это минимальный функционал, необходимый для того, чтобы не попасть в середину инструкции, а функция, которая принимает указатель на байтовую строку, а в ответ отдает длину инструкции, называется дизассемблером длин. Например, алгоритм заражения может быть таким:

1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
2. Читаем свой код (код тела вируса).
3. Берем несколько первых инструкций из файла-жертвы.
4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
7. На место этих первых инструкций кладем переход на код вируса.

Это вариант вполне себе корректного вируса, который может внедриться в исполняемый файл, ничего не сломать, скрыто выполнить свой код и вернуть исполнение программе-хосту. Теперь, давайте его ловить.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

Как мы увидели, для быстрого и точного сравнения детектору необходимы сами байты сигнатуры и ее смещение. Или, другим языком, содержимое кода и адрес его расположения в файле-хосте. Поэтому понятно, как развивались идеи сокрытия исполняемого кода вирусов – по двум направлениям:

• сокрытие кода самого вируса;
• сокрытие его точки входа.

Сокрытие кода вируса в результате вылилось в появление полиморфных движков. То есть движков, позволяющих вирусу изменять свой код в каждом новом поколении. В каждом новом зараженном файле тело вируса мутирует, стараясь затруднить обнаружение. Таким образом, затрудняется создание содержимого сигнатуры.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

Об этом "РГ" беседует с молекулярным вирусологом, и.о. директора Института биомедицинских систем и биотехнологий Санкт-Петербургского политехнического университета Петра Великого, доктором биологических наук Андреем Васиным.

Андрей Владимирович, пандемия COVID-19 открыла нам глаза на то, что мир вирусов способен преподнести людям немало сюрпризов, хотя мы сталкиваемся с ними постоянно. Почему, на ваш взгляд, новый вирус оказался таким шоком для человечества?

Андрей Васин: Подавляющее большинство людей просто недооценивало опасность, которую представляют вирусы. Почти все слышали такие слова, как "Эбола", "птичий грипп", "вирус Зика", "атипичная пневмония". Но все это было в заголовках новостей и где-то далеко - в Африке, Юго-Восточной Азии, Южной Америке - и не касалось непосредственно нас. Не случайно, наверное, что страны Юго-Восточной Азии, которые сталкивались с некоторыми из перечисленных вирусов, оказались более подготовленными к реагированию на COVID-19, чем, например, страны Европы.

Охвативший весь мир "свиной грипп" (т.е. вирус гриппа A/H1N1), объявленный пандемией, воспринимался просто как осложненный грипп. Плюс к этому было много разговоров про то, что это все обман с целью отвлечения внимания людей от каких-то более важных проблем, "заговор фармкомпаний, чтобы продавать больше препаратов", и т.п. А сейчас оказалось, что угроза пандемии реальна и может затронуть всех. К такому повороту событий общество многих стран, мне кажется, не было готово.

Известно, что вирусы крайне изменчивы. Чем объясняется эта их способность?

Андрей Васин: В основе всей жизни на земле лежит процесс репликации, то есть копирования генома, который у всех клеточных форм жизни представлен молекулой ДНК. За этот процесс в клетках отвечают специальные ферменты, которые называются полимеразы. В процессе репликации ДНК (у человека размер генома, например, составляет 10 в девятой степени!) неизбежно возникают ошибки. Поэтому в процессе эволюции появились специальные ферменты, которые отвечают за репарацию, то есть за устранение этих ошибок. У вирусов геном может быть представлен молекулой как ДНК, так и РНК. При этом РНК-содержащие вирусы являются более изменчивыми и патогенными, чем ДНК-содержащие. В частности, к РНК-содержащим вирусам человека относятся ВИЧ, вирус Эбола, вирус Зика, вирусы гриппа и коронавирусы, в том числе COVID-19. Изменчивость РНК-содержащих вирусов связана с тем, что у них, как правило, нет систем репарации. В результате вирусная полимераза совершает ошибки довольно часто. Размер генома вируса гораздо меньше, поэтому у них на каждый цикл репликации приходится в среднем одна мутация. С учетом скорости размножения вируса и скорости его распространения в популяции число мутаций будет довольно велико, что и объясняет такую изменчивость.

А помимо постепенного накопления мутаций в геноме РНК-содержащих вирусов возможны и более резкие изменения, например, в процессе реассортации и рекомбинации. Реассортация - это перемешивание сегментов генома разных вирусов. Если эти сегменты были от вирусов разных хозяев (например, человека и птицы), такой новый вирус чаще всего бывает нежизнеспособным. Однако в редких случаях он все же получает возможность эффективно размножаться и передаваться от человека к человеку. Именно таким образом возникали все известные пандемии гриппа. Для некоторых вирусов с монолитным геномом возможна рекомбинация, то есть обмен фрагментами генома между разными штаммами.

В частности, такие механизмы встречаются у коронавирусов. Реассортация и рекомбинация приводят не к плавным, а к резким изменениям биологических свойств вируса. Такая изменчивость и является одним из ключевых факторов их способности ускользнуть от иммунитета человека.

В состоянии ли наука предсказать появление более опасных штаммов тех вирусов, которые давно циркулируют среди людей?

Андрей Васин: Наука в состоянии предположить, что может сделать уже известные вирусы более опасными, изучая их молекулярно-генетические механизмы. Мы можем предполагать, на какие вирусы стоит обратить особое внимание с точки зрения их пандемического потенциала. Но сказать, какое именно событие усилит патогенность вируса в реальности и тем более когда оно произойдет, к сожалению, пока невозможно.

Известно, что существует около 250 вирусов, вызывающих ОРВИ. Однако для них не создано ни тест-систем, ни вакцин. С чем это связано? И оправдано ли такое спокойствие человечества?

Андрей Васин: Сложно дать однозначный ответ. С одной стороны, обычные люди и даже многие медики считают, что вызванные вирусами респираторные заболевания в целом схожи друг с другом, и подход к их лечению примерно одинаковый. Единственное исключение составляет грипп, при этом многие люди гриппом называют все ОРВИ. Зачем тогда тратить время и деньги на их дифференциальную диагностику? Считается, что важно определить, вирус или бактерия вызвали заболевание, а если вирус, то грипп это или нет, а остальное неважно. Ведь специфических противовирусных препаратов для других респираторных вирусов нет - в отличие от множества антибиотиков против бактериальных инфекций. Но каждый вирус имеет свою собственную программу репликации в организме, поэтому и течение инфекции тоже будет отличаться, а значит, и схема лечения тоже должна иметь отличия. Как молекулярный вирусолог, я считаю, что ставить диагноз ОРВИ и не обращать внимания на то, какой вирус ее вызвал, неправильно. Возможно, медицинские вирусологи и инфекционисты не будут столь категоричны. Но я уверен, что по мере изучения респираторных вирусов нас ждет еще много сюрпризов, в том числе в механизмах их патогенеза и развития осложнений.

Но тест-системы на определение ОРВИ есть, они широко используются в системе надзора за гриппом и другими ОРВИ, осуществляемой, в частности, Национальным центром ВОЗ на базе НИИ гриппа им. Смородинцева Минздрава России. Что касается вакцин, то ОРВИ преимущественно вызваны РНК-содержащими, то есть сильно изменчивыми вирусами, и создать эффективную вакцину от них не так просто. Мы это видим на примере вакцины от гриппа, состав которой меняется ежегодно, и прививаемся мы ею не единожды в жизни, а практически каждый год. Попытки создать вакцины и против других ОРВИ предпринимались в 1960-е годы, но они оказались безуспешными. Ярким примером является респираторно-синцитиальная инфекция, вызывающая тяжелые заболевания нижних дыхательных путей, особенно у младенцев и детей младшего возраста. Была получена инактивированная вакцина, но на стадии клинических испытаний она не только не позволила защитить от инфекции, но и существенно утяжелила заболевание. После этого работы по вакцине против РС-инфекции были надолго закрыты. Только в наше время вновь вернулись к активной разработке этих вакцин, когда открыли молекулярные механизмы усиления инфекции, возникавшего при использовании вакцины в те годы, но уже с использованием новых технологий. Сейчас на стадии доклинических и клинических исследований находится несколько десятков вакцинных препаратов. Мы также проводим доклинические исследования нашего варианта вакцины против РС-инфекции в НИИ гриппа, работа финансируется Центром стратегического планирования и управления медико-биологическими рисками здоровью Минздрава России.

А были ли попытки создать вакцины от коронавирусов?

Андрей Васин: Среди сезонных респираторных вирусов встречается 4 типа коронавирусов: OC43, HKU1, NL63 и 229E. И если про коронавирусы SARS (атипичной пневмонии) и MERS (ближневосточного респираторного синдрома) люди еще слышали, то про эти четыре коронавируса ничего не знают. Против них не было разработано ни лекарств, ни вакцин. Если бы они были, мы чувствовали бы себя сейчас намного уверенней и смогли бы гораздо быстрее создать вакцину или лекарственный препарат от COVID-19.

На нашей памяти - эпидемия Эбола в Африке, вспышки других опасных вирусных лихорадок. Какие уроки были извлечены из них?

Андрей Васин: Вирус Эбола был хорошо известен специалистам и до эпидемии. Локальные вспышки заболевания фиксировались, но при чрезвычайно высокой летальности число заболевших было невелико. Эпидемия столь опасного вируса особенно в условиях бедных стран Африки - это событие чрезвычайное, требующее неотложных мер, что в конечном итоге и было сделано. На момент начала эпидемии различными лабораториями разрабатывался целый ряд препаратов против вируса Эбола, в том числе с использованием новых технологий. Был определенный задел и по вакцинам, который позволил оперативно инициировать их разработку. Эпидемия Эбола позволила апробировать целый ряд новых биотехнологических решений, которые можно применять в дальнейшем для борьбы и с другими вирусными инфекциями.

Как вы полагаете, какие изменения в нашей жизни, в организации санэпиднадзора и системы здравоохранения должны будут произойти после нынешней пандемии?

Андрей Васин: Основные изменения будут связаны скорее всего с экономическими последствиями пандемии. ВОЗ постоянно говорит о необходимости подготовки к пандемиям, разработаны соответствующие "дорожные карты". После пандемии COVID-19 эта работа будет усилена как на глобальном уровне, так и на уровне отдельных стран. А в обычной жизни, надеюсь, люди будут уделять гораздо больше внимания правилам личной гигиены, более ответственно относиться к респираторным заболеваниям и не приходить, например, на работу или в места скопления людей с ОРВИ, заражая окружающих. По крайней мере, хотя бы в первое время.

Многие годы нам рекомендовали в качестве профилактики вирусных инфекций то витамины, то модуляторы интерферонов. Теперь об этом что-то молчат. Установки изменились?

Андрей Васин: Возможно, появилась ответственность за то, что предлагаешь, так как спрос на эти предложения будет действительно серьезный. Надеюсь, что одним из положительных последствий ситуации будет и более серьезное отношение к тому, чем предлагается лечить ОРВИ. А также то, что число сторонников антипрививочного движения сократится. Ведь вакцины - это одно из величайших достижений человечества, позволившее спасти миллиарды человеческих жизней.

Как вы считаете, нужно ли все же выделить средства на изучение вроде бы не очень опасных респираторных вирусов, разработку тест-систем, доступную диагностику, вакцинопрофилактику и терапию?

Андрей Васин: Несомненно! В "мирное" время кажется, что есть более важные задачи, но вирусы - это реальная угроза человечеству. Мы живем в условиях постоянной биологической войны, только не рукотворной, а природной, которая длится миллиарды лет. Мы никогда не сможем полностью исключить вирусную угрозу, но должны быть максимально готовы ее предотвратить. Биологическая наука развивается семимильными шагами. Например, всего за несколько дней после идентификации вируса COVID-19 его геном был секвенирован и депонирован в общедоступные базы данных, что позволило оперативно начать разработку тест-систем и вакцин. В 2009 году, во время пандемии гриппа, вызванного вирусом А/H1N1, этот процесс занял гораздо больше времени. Нам нужно более подробно изучать вирусы человека и животных. Не надо забывать, что основной путь появления новых инфекций - зоонозный, поэтому крайне важно знать, что происходит с вирусами в естественных животных резервуарах. Нужно развивать новые технологии создания вакцин и препаратов. В этом смысле многообещающе выглядят РНК-вакцины, неслучайно им сейчас уделяют столько внимания. Именно это направление мы выбрали в СПбГПУ как основное.

Не знаю, насколько уместно будет такое сравнение, но инвестиции в вирусологию - это как страховой полис на автомобиль. Пока с автомобилем все в порядке, кажется: зачем я заплатил за полис, лучше бы потратил на что-то более насущное. Но если с автомобилем что-то случилось, начинаешь понимать, что без страхового полиса ты остался бы ни с чем. Думаю, что даже небольшой части суммы экономических потерь от нынешней пандемии хватило бы на поддержание и оснащение вирусологических лабораторий по всему миру на многие годы.