Кто разбирается в вирусах

Как говорит Леонид Каневский: “Только факты, и ничего кроме фактов”. Все, что напрашивается в выводах, каждый решает сам. Здесь только хронология, с расставлением точек на “i”.

Коронавирус, которым на сегодняшний день заразилось уже почти полтора миллиона человек в мире, по официальным данным впервые проявился в Китае, г. Ухань. Один из первых заразившихся появился в провинции Хубэй еще 17 ноября 2019 года.

Но у нас сегодня только факты, домыслы оставим следователям. И так что касается фактов. После первого зараженного и до понимания, что появился новый вирус прошел месяц с лишним. 27 декабря только власти спохватились и забили тревогу. На тот момент было уже 180 зараженных. Но никто еще не предполагал, насколько это серьезно.

В середине января Китай вводит в Ухани и всей провинции режим ЧС на тот момент от вируса уже скончался 41 человек, а общее число заболевших составило 1323 человека. Через неделю режим ЧС вводиться еще в 25 провинциях, общим числом жителей 1,2 млрд. человек.

В это же время вирус начинает распространяться в ближайшие страны, с кем Китай очень тесно завязан: Франции, США, Австралии, Японии, Таиланде, Сингапуре, Южной Корее…

Т.е. первые зараженные в других странах появились в конце января, начале февраля. Распространение было вялотекущим, весь мир спокойно наблюдал за развитием событий в Китае, и даже не задумывался, что ждет их впереди. Даже появление заболевших в собственных странах не насторожило не медиков ни власти. Все по ТВ друг друга уговаривали, что это типа новый грипп и не более.

И тут происходят события, которых никто не ожидал. Это можно сравнить только с взрывом ядерной бомбы, вернее нескольких бомб сразу.

Одна бомба взрывается в Италии и чуть позже во всех странах Европы, другая в Иране. И если Италию и другие страны Европы можно с сильной натяжной как-то связать Китаем (туристы, бизнес, и т.д.), то взрыв в Иране непонятен никому, от слова совсем.

Если разложить по датам, то получается такая картинка по зараженным:

На 1 февраля 2020: Китай – 12 тыс.; США – 8 чел.; Италия – 3 чел.; Иран – 0 чел.;

На 1 марта 2020: Китай – 80 тыс. чел.; США – 74 чел.: Италия – 1,7 тыс. чел.; Иран – 1000 чел.

(вся информация по численности и времени заражения взята отсюда)

Здесь видно как происходит резкий подъем заболевания в двух странах Италии и Иране. Они кстати между собой тоже никак не связаны. Китай в этот момент выходит на свой пик, и выше потом практически не заберется, если не считать еще пару тысяч, что для Китая очень мало.

Но что происходит в Иране и Италии дальше. Через месяц это уже полная пандемия, о которой ни кто и не мог подумать.

На 1.04.2020: в Италии – 110,6 тыс., в Иране 48 тыс. зараженных.

Что отличает эти страны, понятно каждому. В Италии полная демократия и расслабон. В Иране авторитарный режим и жесткое послушание, именно это помогло Ирану избежать взрыва, такого же как в Италии.

Что еще очень сильно обращает на себя внимание – смертность в Италии. На сегодняшний день там почти 16 тыс. погибших. Тогда как в Китае на сегодня всего 3,5 тысячи, и в Иране тоже около 3,7 тыс.

Если эту ситуацию перевести в ассоциативный ряд, то можно сказать что Китай и Иран выпили из одного чайника, а Италия из другого. Вернее даже не так. Это как бы вы сами налили себе чай и немного попив, поняли, что сахарку маловато. Пошли и в эту же чашку положили еще немного сахару, и отдали чашку с чаем товарищу.

Чтобы картина стала более яркой, добавлю красок. Самый ближний сосед с Китаем это Монголия. У нее, наверное, самая протяженная граница с Китаем. Китайцев там много. Сколько Китайцев в России – не сосчитает никто: туристы, бизнесмены, рабочие, строители… Приморский край думаю 50/50 население с китайцами. В Казахстане китайцев, как его за баней.

И что мы имеем по зараженным в этих странах:

На 1.03.2020: Россия – 2 чел. Казахстан – 0 чел. Монголия – 0 чел. Но границы никто не закрыл, все наблюдали в ящиках ТВ, как там оно интересно все в Италиях и Китаях.

На 01.04.2020 в России – 2,8 тыс. человек, а в Казахстане 380. Что сегодня у нас, я думаю знает каждый. Но взрыва пока нет, и возможно избежим.

Все заболевшие, в основном прилетели из Европы, как у нас, так и в Казахстане. Монголам повезло больше, к ним никто не прилетел и у них сегодня только 15 заражённых.

Если вернуться в Италию, то они просчитали, что “взрыв” у них произошел сразу после футбольного матча между итальянской “Аталантой” и испанской “Валенсией”, который прошел 19 февраля. По статистике на это число в Италии было всего 3 человека официально подтвержденных коронавирусных больных. Ну и потом ахнуло по везде – болельщики разъехались по всей стране.

Мне интересно проводили или нет Итальянцы расследование, кто был на матче из “друзей” страны? Проверяли ли они ручки туалета на предмет вируса. Потому что на матче все пьют пиво, и соответственно ходят по нужде. Потому что, если даже один зараженный человек или два были на матче, то заразить стадион они не могли. (извиняюсь это домыслы, я обещал только факты).

Что касается фактов, то выводы не утешительны. Вирусом кто-то сильно управляет. При том очень выборочно. Он появляется в Китае, у которого большие экономические споры с США. Больше того, буквально перед этим Трамп говорит, что Китай если не пойдет на уступки то очень сильно об этом скоро пожалеет.

Потом вспышка в Иране, сразу взрыв. Страна, с которой у США тоже серьезные разборки. И сразу добавив сахарку, вспышка в Италии, с огромным количеством жертв. У Европы тоже проблемы и разборки с Америкой. США нужно чтобы они на коленках приползли и умоляли.

Но. Да, есть но. Вспышка в самой Америке. И не просто вспышка, а очередной взрыв. На сегодня США имеет самое большое количество зараженных из всех стран мира, почти 350.000 человек. Почти 10.000 уже умерло, и все это растет с геометрической прогрессией. В Нью-Йорке уже куча перевозных моргов, стационарные давно не справляются.

Я далек от мысли что Американцы сами избавляются от своего населения, таким “оригинальным” способом. Но смертность у них среднестатистическая, а значит они пили “не сладкий” чай.

В заключении, если вернуться к Леониду Каневскому, то он бы сказал: “Ищи того кому это выгодно”.

Выгодополучателей много. Китаю выгодно, что в США сейчас рухнули все рынки. США выгодно, чтобы в Китае и Европе все рухнуло. России выгодно чтобы в США и Европе все рухнуло и тогда возможно снятие санкций и наведение каких-то мостов.

Выгодно всем, но стрелки могут перевести на Россию. Потому что у нас меньше всего (пока) зараженных. И Трамп уже заикался об этом, когда зараженных в России еще не было.

Очень важная информация от американцев, как минимизаровать заражение коронавирусом на 99% – мне сильно помогла.
Время выведет всех на чистую воду. Сделать свои выводы и заключения вы можете в комментариях. Очень прошу делать это аргументировано.

Краткое содержание:

Редакция iReactor разбирается, как на планете появился коронавирус, который к середине марта 2020 года превратился в пандемию, пугающую весь мир.

В конце декабря 2019 года Китай объявил о вспышке коронавируса нового типа, который назвали COVID-19. Всемирная организация здравоохранения 11 марта объявила заболевание пандемией. По последним сведениям, в мире заразились более 130 тысяч человек.

Факты говорят о связи США с появлением коронавируса

Коронавирус появился на излете торговой войны Вашингтона с Пекином, которая оказалась весьма болезненной в экономическом плане для обеих стран. Директор Центра геополитических экспертиз Валерий Коровин утверждает: появление COVID-19 на фоне противостояния США и Китая выглядит вполне логичным.

Официальный представитель МИД КНР Чжао Лицзянь также выразил мнение, что вирус COVID-19 в Ухань завезло ЦРУ. К такому выводу китайский дипломат пришел, проанализировав данные об аналогичных вирусах, распространяемых в США. В доказательство этому в архиве американского научного журнала Nature Medicine за 2015 год обнаружили статью, в которой ученые обсуждали, как создавали этот вирус и как он действует на человека.

В статье говорится, что американские ученые искусственно создали гибридную версию коронавируса у разных животных. Исследователи обратили особое внимание на вирус под названием SHC014, обнаруженный у летучих мышей в Китае. После чего создали химерный вирус, который был адаптирован для роста у мышей и имитации человеческого заболевания.

Далее в материале рассказывается, что еще в 2013 году американцы изучали возможность передачи этого вируса человеку. Полученные данные подтверждают подозрения, что коронавирусы летучих мышей, способные заражать людей, могут встречаться чаще, чем считалось ранее.

У США были средства и условия для диверсии

Время начала вероятной биологической атаки на Поднебесную подобрано стратегически идеально: в канун китайского Нового года, когда внутренняя миграция в КНР находится на пике. А эпицентр – провинция Ухань – расположен в таком месте, которое практически невозможно объехать, передвигаясь из одной части Китая в другую.

Но были ли у США средства, благодаря которым можно было бы устроить выгодную для Вашингтона эпидемию в Китае? Ответ – несомненно. Реальный факт: на приграничных с Китаем территориях находятся по меньшей мере шесть военных биологических лабораторий США. И в каждой из них – на территории Лаоса, Мьянмы, Казахстана, Вьетнама, Пакистана и Афганистана – мог быть выведен вирус для диверсии.

Аналогичные биолаборатории расположены и у границ Ирана и России. Не исключено, что вирус в Иран, где ситуация с пандемией довольно плачевная (13938 зараженных, 724 летальных случая), мог быть доставлен по аналогии с Китаем при непосредственном участии Соединенных Штатов. Вот только с Россией не получается.

Предположим, что задачей американских спецслужб было дестабилизировать ситуацию в Китае и убрать главного конкурента, но зачем делать это ценой жизни и здоровья собственных граждан? Примечательно, что к середине марта коронавирус проник во все американские штаты.

Если для чего-то это было нужно американскому руководству, в качестве некой передышки или краткосрочного периода, когда можно осуществить глобальную экономическую пересдачу, то этой ситуацией можно воспользоваться, – заметил Коровин.

Какая из американских политических элит выиграет больше от пандемии?

Так кому же на самом деле выгодна пандемия коронавируса и к победе каких из противоборствующих сил может привести? Валерий Коровин уверен, что ситуация довольно сложная и сделать выводы относительно выгоды для демократов или республиканцев на данном этапе довольно трудно.

Неясно, о каких именно американских элитах идет речь. Это вопрос номер один, поскольку сегодня эти самые элиты в США очень разобщены. Там как минимум два крупных политических лагеря существует, которые схлестнулись в жесточайшем противостоянии. Речь идет о глобалистах во главе с демократами и консерваторах-изоляционистах во главе с Дональдом Трампом и его командой, – объяснил специалист.

По мнению Коровина, появление смертельно опасного вируса может быть выгодно обеим сторонам политической жизни в США.

С одной стороны, Китай был раздражителем для глобалистов все годы до Трампа, претендуя на лидерство в экономике. С другой стороны, распространение коронавируса приводит к изоляционалистским процессам – к тому, что страны и континенты начали изолироваться друг от друга. Нужно следить за последствиями и уже постфактум анализировать ситуацию, конечно, – подчеркнул собеседник издания.

Выгодно ли США распространение вируса по всему миру?

Существует вероятность, при которой Вашингтон допустил распространение вируса по всему миру и даже на своей территории специально, чтобы отвести подозрения от себя. И в этой теории также есть рациональное зерно, уверен Коровин.

По мнению Коровина, неправильно подводить ситуации в разных государствах под единый знаменатель. Именно это, считает специалист, позволяет распространить проблематику на весь мир, хотя масштабы эпидемии в разных его частях несопоставимы.

Вопрос в масштабах распространения коронавируса, а не в самом факте его распространения. Допустим, если в России зафиксирован, условно, один случай коронавируса, то вся территория России на карте закрашивается определенным цветом. А в Италии, допустим, 12 тысяч зараженных, однако цвет тот же и там тоже коронавирус, – привел пример собеседник издания.

Коровин выразил подозрение, что истерия с коронавирусом, захлестнувшая буквально всю планету, может также подхлестываться Соединенными Штатами.

Есть подозрение, что коронавирусная истерия раздувается для отвода глаз от реальных проблем. Время подобрано идеально, и это неслучайно, – резюмировал специалист.

К слову, первыми в мире из разряда эпидемии в статус пандемии коронавирус перевел американский CNN.

Санкции для США за диверсию с коронавирусом

Безусловно, доказать причастность Соединенных Штатов и их спецслужб к возникновению смертельного коронавируса, приведшего к пандемии во всем мире, будет сложно. Как только эпидемия пойдет на спад (как это уже происходит в Китае), Всемирная организация здравоохранения совместно с ООН обязаны разобраться в том, откуда же возник COVID-19.

Рассчитывать на беспристрастность этих, безусловно, влиятельных структур, не приходится. Да и западному сообществу явно будет невыгодно, если США обвинят в диверсии, приведшей к огромному количеству смертей по всему миру. Но предположим, что это все же произойдет. Каких санкций ждать?

Доцент кафедры истории и теории политики МГУ им. Ломоносова Александр Бубнов считает, что если вина США в распространении вируса будет доказана, то для американских властей это сулит очень серьезные последствия.

Убивать своих граждан ради торговой войны весьма жестоко. Если появятся доказательства участия США в появлении коронавируса, то та политическая сила, которая это устроила, будет морально уничтожена, – считает доцент кафедры истории и теории политики МГУ им. Ломоносова Александр Бубнов.

Член Комитета Госдумы по обороне Юрий Швыткин в комментарии нашему изданию выразил мнение, что в случае выявления причастности Вашингтона к появлению и распространению этой инфекции меры должны быть беспрецедентно жесткими.

Конечно же, в том случае, если будет выявлено, что источник коронавируса как-то связан с США, необходимо провести тщательное расследование ситуации. И если вина США будет доказана, то Вашингтон должен быть подвергнут серьезному наказанию. Это должно рассматриваться как преступная деятельность против всего мира. И рассматриваться на площадке Генассамблеи ООН, – заявил российский политик.

• 
  

Коронавирус появился, чтобы установить глобализацию страха: от откровений Билла Гейтса волосы встают дыбом.

Новые факты данное предположение полностью подтверждают. В Ухане, штаб-квартире благоволящей США "хубэйской группы" соперников китайского лидера Си Цзиньпина, действительно была биолаборатория, которая, как оказалось, финансировалась из Америки со времён экс-президента-демократа Барака Обамы, и в ней исследовались опасные для человека вирусы.

Согласно газете The Washington Post, в Госдепартаменте получали сообщения американских дипломатов о недостаточном уровне безопасности и управления в уханьской лаборатории. Это подразумевает, что де-факто американцы имели к ней доступ.

Работы проводились, по данным СМИ, в рамках программы "Зарождающиеся пандемические угрозы" (ЕРТ). Запустило её американское государственное агентство USAID в 2019 году.

Это уже было при президенте Дональде Трампе, которому так и не удалось, как видим, избавиться от сторонников демократов и глобалистов в госучреждениях США, интригующих против президента. Их цель – любым путём помешать Трампу переизбраться в этом году и списать на него давно назревший и приуроченный к пандемии глобальный экономический и финансовый кризис. После чего родится новый мир.

Трамп собирается разобраться с ситуацией вокруг лаборатории в Ухане. Фото: Yuri Gripas / Globallookpress

Кстати, аккурат за месяц до вспышки коронавируса в Китае данную программу спешно закрыли, что вызвало новые подозрения. На прошлой неделе Трамп пообещал изучить сообщения СМИ о гранте, который американские власти якобы выдали лаборатории в Ухане, и отменить его, если он ещё не потрачен и средства по-прежнему поступают в КНР. Президент заявил об этом на брифинге для журналистов в Белом доме.

Что мы видим? Что США с помощью своих людей в других странах – часто заблаговременно и не обязательно на уровне действующей администрации (Гитлера американское "Глубинное государство" начало раскручивать с 1922 года) вначале создают проблемы, а потом их блистательно решают, оказываясь в итоге хозяевами мира. Но поскольку после появления ядерного оружия у нескольких стран война уже не может решить проблему подтверждения американского мирового господства на новом этапе, ставка теперь делается на вирусы и вызываемый ими страх.

У Гитлера была, как известно, отменная интуиция, пока Германия не стала слишком сильна и с ней не стали воевать всерьёз, после чего эта интуиция вдруг исчезла и наступила полоса невезения. Объяснение этому есть. Когда Гитлеру подыгрывали – ему везло, его интуиция срабатывала безошибочно. Когда за него взялись по-настоящему, интуиции не стало, везение – кончилось.

Есть и в нашем мире человек, американец, у которого тоже есть "гениальная интуиция". Это основатель Microsoft, известный 2миллиардер-филантроп" (вроде Джорджа Сороса) Билл Гейтс. У него остался всего 1% акций в основанной им компании (тут он напоминает большого российского олигарха, которому добрые дяди позволили "заработать" кучу денег в расчёте на дальнейшую послушность), делами которой он уже почти не занимается. Поскольку брошен на другое направление. Куда более перспективное, ибо речь идёт о жизни и смерти десятков миллионов людей, тотальной власти над миром и просто невероятных деньгах.

Как вы уже, конечно, догадались, наш американский "герой"-глобалист с некоторых пор заинтересовался вирусами. Уже свыше пяти лет назад он "гениально" предвидел глобальную вирусную пандемию, в борьбе с которой намерен объединить усилия всего мира. Для чего фактически поставил под финансовый контроль как один из главных спонсоров – наравне с … США – Всемирную организацию здравоохранения (ВОЗ). А также создал "благотворительный" фонд Билла и Мелинды Гейтс, финансирующий разработку антивирусных вакцин для… всех жителей планеты. На борьбу с коронавирусом, который "предсказал" в 2015 году, Гейтс направил недавно 250 миллионов долларов – сущую мелочь по сравнению с теми доходами, которые он надеется получить, когда получит возможность решать, кому жить, а кому умирать.
В своей знаменитой лекции в 2015 году "филантроп" предупредил, напоминает французская газета Le Figaro, что новая "мировая катастрофа" будет связана не с ядерной бомбой, как раньше, а с вирусами. При этом на экране демонстрировался вирус, очень похожий на возбудителя COVID-19.

Основатель Microsoft Билл Гейтс: "Если что-то уничтожит более 10 миллионов людей в следующее десятилетие, это, наверное, будет скорее чрезвычайно заразный вирус, чем война". Фото: Qin Lang / Globallookpress

Вот что он тогда буквально сказал:

Если что-то уничтожит более 10 миллионов людей в следующее десятилетие, это, наверное, будет скорее чрезвычайно заразный вирус, чем война.

Сейчас Гейтс "ошеломлён" своим предсказанием и обещает выделить несколько миллиардов, если поможет государство, на строительство заводов для производства спасительной вакцины, чтобы можно было произвести семь миллиардов доз.

На планете, кстати, людей уже почти на миллиард больше… Куда он денется? Гейтс намекнул однажды, куда: "Делая людей более здоровыми, мы можем сократить численность мирового населения". "Более здоровыми"? Что ж, Оруэлл отдыхает.

Не будем перечислять все "конспирологические" теории, связанные с американским "филантропом". Но вот об этом надо сказать. Фонд Гейтсов сотрудничает с британским Институтом Пирбрайт, который в 2018 году получил патент (всё это открытая информация) на выделенный им ослабленный штамм… коронавируса, поражающего кур. А ещё, наверное, как нетрудно предположить, в усовершенствованном виде, "индюков" и "индюшек".

Как обратил внимание один прозорливый пользователь наблюдатель:

Билл Гейтс сделал деньги на создании компьютерных вирусов и антивирусов! Теперь делает вирус для людей, а потом продает лекарства!

Не забудем, что это ещё и большой сторонник цифровизации, цифрового ГУЛАГа, в который на наших глазах превращается весь мир. А мы – в его зэков, полностью находящихся в руках новых тюремщиков, решающих, кому хватит вакцин, а кто умрёт в страшных мучениях, у кого есть электронный допуск к активной жизни, а кто будет прозябать на задворках.

Наговариваем на благородного американского "филантропа"? Вряд ли. Вот что сам Гейтс заявил, в частности, в интервью французской газете Le Monde чуть более недели назад:

Судите сами: COVID-19 наводнил такие города, как Нью-Йорк, но, по имеющимся данным, в одной больнице на Манхэттене больше коек в отделении интенсивной терапии, чем в большинстве африканских стран. Могут умереть миллионы людей. Всё может коснуться вас вне зависимости от того, живете вы в развитой стране или нет. Даже если богатым государствам удастся победить болезнь в ближайшие месяцы, коронавирус может вернуться, если пандемия продолжит свирепствовать в других местах. Рано или поздно одна часть мира вновь заразит другую.

Гейтс убеждён, что для борьбы с коронавирусом нужен глобальный подход и принятие прямо сейчас нескольких мер, в частности, обеспечения "эффективного распределения мировых ресурсов" – медицинских масок, перчаток, тестов, которых поначалу не хватит на всех и которые будут выдаваться медикам и послушным. В конечном же счёте "только всеобщая иммунизация позволит нам покончить с пандемией".

Другой мерой является выделение "достаточных средств на научные исследования по разработке вакцины". Читаем дальше. Перед нами ещё один пример "гениальной интуиции" Гейтса:

Три года назад наш фонд Wellcome Trust и ряд правительств сформировали Коалицию за инновации в сфере подготовки к эпидемиям (CEPI). Целью было ускорить процесс тестирования вакцин и обеспечить первоочередное финансирование новых и более быстрых способов иммунизации. Мы хотели быть готовыми на случай распространения нового вируса по всему миру. CEPI уже сейчас работает над восемью потенциальными вакцинами от коронавируса, и учёные уверены, что смогут создать хотя бы одну в течение полутора лет.

Однако для спасения человечества от смерти не хватает не менее двух миллиардов долларов, и Гейтс надеется, что G20 ему поможет. Но это только для начала. Для успеха потребуется ещё много миллиардов.

Весь мир выстроится в очередь к спасительной вакцине Гейтса? Фото: Davide Fracassi / Globallookpress

Американский "филантроп" предупредил и ещё об одной засаде, которая ожидает попутчиков этого головокружительного проекта: пока-де неизвестно, какая именно из разрабатываемых уже три года против коронавируса – ловко, не правда ли? – вакцин "окажется наиболее эффективной, а каждая из них требует особой технологии производства". Это означает, что "страны должны уже сейчас вкладывать средства в разные виды производственной инфраструктуры, осознавая, что некоторые, в конечном итоге, попросту не будут использоваться". Что-то подсказывает нам, что США угадают, на какую технологию делать ставку!

На своём сайте Gates Notes "филантроп" откровенничает: "Нам буквально понадобятся миллиарды вакцин, чтобы защитить мир", "комбинация тестирования и социальной изоляции явно работает, и это всё, что у нас есть, прежде чем у нас появится вакцина".

А дальше снова "гениальная интуиция": "Никто не может предугадать вероятность появления нового вируса. Но мы знали, что это когда-то произойдет, – и это будет или грипп, или какое-то другое респираторное заболевание".

А вот это о будущем цифровом рабстве в новом мире Гейтса: "В конечном итоге, у нас будут цифровые сертификаты, показывающие, кто переболел или прошёл тестирование, или кто был вакцинирован (когда появится вакцина)".

А это о том, как кошмарно мы будем жить дальше: "Я думаю, что когда пандемия будет под контролем, государства начнут активно инвестировать в подготовку к следующей"…

У кого-то остаются сомнения, кому мы обязаны происходящим, кто взял нас за горло, какие силы за всем этим стоят и чего добиваются?

Да, это они – новые "продавцы воздуха", кукловоды мировой закулисы и их публичные марионетки – политики, видные бизнесмены, прикормленные учёные, которые под страхом смерти хотят лишить всех нас – русских, американцев, итальянцев, кого угодно – даже относительной свободы и превратить в своих жалких рабов. У них не должно получиться.

Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:

Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

Если мы внедрим свой код в позицию точно между инструкциями, то сможем сохранить контекст (стек, флаги) и, выполнив код вируса, восстановить все обратно, вернув управление программе-хосту. Конечно, с этим тоже могут быть проблемы, если используются средства контроля целостности кода, антиотладка и т.п., но об этом тоже во второй статье. Для поиска такой позиции нам необходимо вот что:

• поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
• определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
• переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
• повторять, пока не решим остановиться

Это минимальный функционал, необходимый для того, чтобы не попасть в середину инструкции, а функция, которая принимает указатель на байтовую строку, а в ответ отдает длину инструкции, называется дизассемблером длин. Например, алгоритм заражения может быть таким:

1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
2. Читаем свой код (код тела вируса).
3. Берем несколько первых инструкций из файла-жертвы.
4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
7. На место этих первых инструкций кладем переход на код вируса.

Это вариант вполне себе корректного вируса, который может внедриться в исполняемый файл, ничего не сломать, скрыто выполнить свой код и вернуть исполнение программе-хосту. Теперь, давайте его ловить.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

Как мы увидели, для быстрого и точного сравнения детектору необходимы сами байты сигнатуры и ее смещение. Или, другим языком, содержимое кода и адрес его расположения в файле-хосте. Поэтому понятно, как развивались идеи сокрытия исполняемого кода вирусов – по двум направлениям:

• сокрытие кода самого вируса;
• сокрытие его точки входа.

Сокрытие кода вируса в результате вылилось в появление полиморфных движков. То есть движков, позволяющих вирусу изменять свой код в каждом новом поколении. В каждом новом зараженном файле тело вируса мутирует, стараясь затруднить обнаружение. Таким образом, затрудняется создание содержимого сигнатуры.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.