1996年出現(xiàn)的Staog是Linux系統(tǒng)下的第一個病毒，它出自澳大利亞一個叫VLAD的組織。Staog病毒是用匯編語言編寫，專門感染二進制文件，并通過三種方式去嘗試得到root權(quán)限。Staog病毒并不會對系統(tǒng)有什么實質(zhì)性的損壞，它應(yīng)該算是一個演示版，但它向世人揭示了Linux可能被病毒感染的潛在危險。Linux系統(tǒng)上第二個被發(fā)現(xiàn)的病毒是Bliss病毒，它是一個不小心被釋放出來的實驗性病毒。與其它病毒不同的是，Bliss本身帶有免疫程序，只要在運行該程序時加上“disinfect-files-please”選項，即可恢復系統(tǒng)。

如果說剛開始時Linux病毒向人們展示的僅僅是一個概念，那么，在2001年發(fā)現(xiàn)的Ramen病毒，則已經(jīng)開始引起很多人的擔心。Ramen病毒可以自動傳播，無需人工干預，所以和1988年曾使人們大受其苦的Morris蠕蟲非常相似。它只感染Red Hat 6.2和7.0版使用匿名FTP服務(wù)的服務(wù)器，它通過兩個普通的漏洞RPC.statd和wu-FTP感染系統(tǒng)。表面看來，這不是一個危險的病毒，它很容易被發(fā)現(xiàn)，且不會對服務(wù)器做出任何有破壞性的事情。但是當它開始掃描時，將消耗大量的網(wǎng)絡(luò)帶寬。從1996年至今，新的Linux病毒屈指可數(shù)，這說明Linux是一個健壯的、具有先天病毒免疫能力的操作系統(tǒng)。當然，除了其自身設(shè)計優(yōu)秀外，還有其它的原因。首先，Linux早期的使用者一般都是專業(yè)人士，就算是今天，雖然其使用者激增，但典型的使用者仍為那些有著很好的電腦背景且愿意幫助他人的人，Linux高手更傾向于鼓勵新手支持這樣一種文化精神。

正因為如此，Linux使用群中一種傾向就是以安全的經(jīng)驗盡量避免感染病毒。其次，年輕也是Linux很少受到病毒攻擊的原因之一。事實上，所有的操作系統(tǒng)(包括DOS和Windows)在其產(chǎn)生之初，也很少受到各種病毒的侵擾。然而，2001年3月，美國SANS學院的全球事故分析中心(Global Incident Analysis Center——GIAC)發(fā)現(xiàn)，一種新的、針對使用Linux系統(tǒng)計算機的蠕蟲病毒正通過互聯(lián)網(wǎng)迅速蔓延，它將有可能對用戶的電腦系統(tǒng)造成嚴重破壞。這種蠕蟲病毒被命名為Lion病毒，與Ramen蠕蟲病毒非常相似。但是，這種病毒的危險性更大，Lion病毒能通過電子郵件把一些密碼和配置文件發(fā)送到一個位于china.com的域名上。

Dartmouth學院安全技術(shù)研究所工程師威廉·斯蒂恩斯說：“攻擊者在把這些文件發(fā)回去之后就可以通過第一次突破時的缺口再次進入整個系統(tǒng)。這就是它與Ramen蠕蟲病毒的不同之處。事實上，Ramen病毒是一種比較友善的病毒，它在侵入系統(tǒng)后會自動關(guān)閉其中的漏洞。而這個病毒卻讓那些漏洞敞開，并開辟新的漏洞。以至于如果你的系統(tǒng)感染了這個病毒，我們不能百分之百確信這個系統(tǒng)有挽救的價值。更加合理的選擇很有可能是轉(zhuǎn)移數(shù)據(jù)，并且重新格式化硬盤。”一旦計算機被徹底感染，Lion病毒就會強迫電腦開始在互聯(lián)網(wǎng)上搜尋別的受害者。不過，感染Lion病毒的系統(tǒng)少于感染Ramen病毒的系統(tǒng)，但是它所造成的損失卻比后者大得多。

二、Linux平臺下的病毒分類

Linux操作系統(tǒng)一直被認為是Windows系統(tǒng)的勁敵，因為它不僅安全、穩(wěn)定、成本低，而且很少發(fā)現(xiàn)有病毒傳播。但是，隨著越來越多的服務(wù)器、工作站和個人電腦使用Linux軟件，電腦病毒制造者也開始攻擊這一系統(tǒng)。對于Linux系統(tǒng)無論是服務(wù)器，還是工作站的安全性和權(quán)限控制都是比較強大的，這主要得力于其優(yōu)秀的技術(shù)設(shè)計，不僅使它的操作系統(tǒng)難以宕機，而且也使其難以被濫用。Unix經(jīng)過20多年的發(fā)展和完善，已經(jīng)變得非常堅固，而Linux基本上繼承了它的優(yōu)點。在Linux里，如果不是超級用戶，那么惡意感染系統(tǒng)文件的程序?qū)⒑茈y得逞。當然，這并不是說Linux就無懈可擊，病毒從本質(zhì)上來說是一種二進制的可執(zhí)行的程序。像速客一號(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、 米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會損壞Linux服務(wù)器，但是卻會傳播給訪問它的Windows系統(tǒng)平臺的計算機。

Linux平臺下的病毒分類大體如下：

◆ 可執(zhí)行文件型病毒

可執(zhí)行文件型病毒是指能夠寄生在文件中的、以文件為主要感染對象的病毒。病毒制造者們無論使用什么武器，不管是匯編語言或C語言，要感染ELF文件都是輕而易舉的事情。這方面的病毒有Lindose。

◆ 蠕蟲（Worm）病毒

1988年Morris蠕蟲爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術(shù)角度的定義——計算機蠕蟲可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上。在Linux平臺下，蠕蟲病毒極為猖獗，像利用系統(tǒng)漏洞進行傳播的Ramen、Lion和Slapper等，這些病毒都感染了大量的Linux系統(tǒng)，造成了巨大的損失。

◆ 腳本病毒

目前出現(xiàn)比較多的是使用Shell腳本語言編寫的病毒。此類病毒編寫較為簡單，但是破壞力同樣驚人。我們知道，Linux系統(tǒng)中有許多的以.sh結(jié)尾的腳本文件，而一個短短十數(shù)行的Shell腳本就可以在短時間內(nèi)遍歷整個硬盤中的所有腳本文件，進行感染。

◆ 后門程序

在廣義的病毒定義概念中，后門也已經(jīng)納入了病毒的范疇?；钴S在Windows系統(tǒng)中的后門這一入侵者的利器在Linux平臺下同樣極為活躍。從增加系統(tǒng)超級用戶賬號的簡單后門，到利用系統(tǒng)服務(wù)加載、共享庫文件注射、rootkit工具包，甚至可裝載內(nèi)核模塊(LKM)，Linux平臺下的后門技術(shù)發(fā)展非常成熟，隱蔽性強，難以清除。這是Linux系統(tǒng)管理員極為頭疼的問題。

三、Linux病毒的防治

綜合以上介紹可以看到，總體來說計算機病毒對Linux系統(tǒng)的危害較小。但是由于各種原因在企業(yè)應(yīng)用中往往是Linux和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)，在服務(wù)器端大多使用Linux和Unix，在桌面端使用Windows，所以Linux的防范病毒策略分成針對Linux本身(服務(wù)器和使用其作為桌面的計算機)防范策略和針對使用Linux服務(wù)器后端的Windows系統(tǒng)的病毒防范策略兩個部分，Linux下的防病毒軟件也分成基于開放源代碼的和商業(yè)軟件兩部分。

◆ 針對Linux本身做病毒防范策略（服務(wù)器和使用其作為桌面的計算機）

對可執(zhí)行文件型病毒、蠕蟲(Worm)病毒、腳本病毒的防范，通過安裝GPL查殺病毒軟件基本可以防范。服務(wù)器端可以使用AntiVir(http://www.hbedv.com/)查殺病毒。它是工作在命令行下的，運行時可以較少占用系統(tǒng)資源。桌面用戶可以選擇Tkantivir(http://www.sebastian-geiges.de/tkantivir/)，它是用Tcl/Tk編寫的，可以運行在任何X-Window環(huán)境下面，比如KDE或GNOME等。

對于后門程序防范，可以采用

LIDS(http://www.lids.org/)和Chkrootkit(http://www.chkrootkit.org/)。LIDS是Linux內(nèi)核補丁和系統(tǒng)管理員工具(Lidsadm)，它加強了Linux內(nèi)核，可以保護dev/目錄下的重要文件。而Chkrootkit可以檢測系統(tǒng)的日志和文件，查看是否有惡意程序侵入系統(tǒng)，并且尋找關(guān)聯(lián)到不同惡意程序的信號。最新版本的Chkrootkit0.45可以檢測出sniffers、Trojans、worms、rootkit等100種病毒。

此外，對于Linux服務(wù)器來說運行的軟件大都是開源軟件，而且都在不停升級，穩(wěn)定版和測試版交替出現(xiàn)。在www.apache.org等網(wǎng)站上，最新的ChangeLog中都寫有“Bug Fix”、“Security Bug Fix”等字樣。所以，Linux系統(tǒng)管理員要經(jīng)常關(guān)注相關(guān)網(wǎng)站的Bug Fix和升級，及時升級或添加補丁，千萬不要報僥幸心理。這里套用一句名言：“你的服務(wù)器永遠可能在第二天被黑客接管。”

◆ 針對使用Linux服務(wù)器后端的Windows系統(tǒng)的病毒防范策略

許多企業(yè)使用代理服務(wù)器接人互聯(lián)網(wǎng)，用戶的Windows系統(tǒng)在進行HTTP網(wǎng)頁瀏覽和文件下載時容易被感染病毒，所以可以在代理服務(wù)器上加掛一個病毒過濾器，對用戶瀏覽的HTTP網(wǎng)頁進行病毒檢測，發(fā)現(xiàn)有用戶瀏覽網(wǎng)頁感染病毒的狀況即由代理服務(wù)器進行阻斷，丟棄帶有病毒的請求，將不安全的進程阻止在代理服務(wù)器內(nèi)，禁止帶有病毒的數(shù)據(jù)向客戶端計算機傳播。Squid是一款非常優(yōu)秀的代理服務(wù)器軟件，但是沒有專門的病毒過濾功能?？梢钥紤]使用德國開放源碼愛好者開發(fā)的一款基于Linux的病毒過濾代理服務(wù)器--HAVP(http://www.server-side.de/)。

HAVP病毒過濾代理服務(wù)器軟件既可以獨立使用，也可以與Squid串聯(lián)使用，增強Squid代理服務(wù)器的病毒過濾功能。

提供郵件服務(wù)是Linux服務(wù)器中重要應(yīng)用，可以使用ClamAV(http://www.clamwin.com/)防范病毒。ClamAV全名是Clam AntiVirus，它跟Liunx一樣強調(diào)公開程序代碼、免費授權(quán)等觀念。ClamAV目前可以偵測超過8萬種病毒、蠕蟲和木馬程序，并且隨時更新數(shù)據(jù)庫。其分布在世界各地的病毒專家24小時更新及維護病毒數(shù)據(jù)庫，任何人發(fā)現(xiàn)可疑病毒也可以隨時跟他們聯(lián)系，立刻更新病毒碼。這樣在極短的時間內(nèi)，網(wǎng)絡(luò)上采用ClamAV的郵件服務(wù)器就能完成最新的防護。

以上主要介紹了基于開放源代碼的軟件，商業(yè)防毒軟件商Trend Micro、Network Associates、Data Fellows和Sophos也都有各自的Linux版病毒檢測器。另外，隨著Linux在中國的發(fā)展許多我們熟悉的國內(nèi)軟件廠商（瑞星等）也推出了相應(yīng)的Linux病毒防范軟件。