1996年的Staog是Linux系统下的第一个病毒，它出自澳大利亚一个叫VLAD的组织（Wi
ndows 95下的第一个病毒程序Boza也系该组织所为）。Staog病毒是用汇编语言编写，专门
感染二进制文件，并通过三种方式去尝试得到root权限。 Staog病毒并不会对系统有什么
实质性的损坏。它应该算是一个演示版。它向世人揭示了Linux可能被病毒感染的潜在危险
。Linux系统上第二个被发现的病毒是Bliss病毒，它是一个不小心被释放出来的实验性病
毒。与其它病毒不同的是，Bliss本身带有免疫程序，只要在运行该程序时加上 “disinf
ect-files-please”选项，即可恢复系统。

　　如果说刚开始时Linux病毒向人们展示的仅仅是一个概念，那么，在2001年发现的Ram
en病毒，则已经开始引起很多人的担心。Ramen病毒可以自动传播，无需人工干预，所以和
1988年曾使人们大受其苦的 Morris蠕虫非常相似。它只感染Red Hat 6.2和7.0版使用匿名
FTP服务的服务器，它通过两个普通的漏洞RPC.statd和wu-FTP感染系统。

　　表面看来，这不是一个危险的病毒。它很容易被发现，且不会对服务器做出任何有破
坏性的事情。但是当它开始扫描时，将消耗大量的网络带宽。

　　从1996年至今，新的Linux病毒屈指可数，这说明Linux是一个健壮的具有先天病毒免
疫能力的操作系统。当然，出现这种情况，除了其自身设计优秀外，还有其它的原因。


　　首先，Linux早期的使用者一般都是专业人士，就算是今天，虽然其使用者激增，但典
型的使用者仍为那些有着很好的电脑背景且愿意帮助他人的人， Linux 高手更倾向于鼓励
新手支持这样一种文化精神。正因为如此，Linux使用群中一种倾向就是以安全的经验尽量
避免感染病毒。其次，年轻，也是Linux很少受到病毒攻击的原因之一。事实上，所有的操
作系统（包括DOS和Windows）在其产生之初，也很少受到各种病毒的侵扰

　　然而， 2001年3月，美国SANS学院的全球事故分析中心(Global Incident Analysis 
Center——GIAC)发现，一种新的针对使用Linux系统的计算机的蠕虫病毒正通过互联网迅
速蔓延，它将有可能对用户的电脑系统造成严重破坏。这种蠕虫病毒被命名为“狮子”病
毒，与Ramen蠕虫病毒非常相似。但是，这种病毒的危险性更大，“狮子”病毒能通过电子
邮件把一些密码和配置文件发送到一个位于china.com的域名上。Dartmouth学院安全技术
研究所工程师威廉·斯蒂恩斯说：“攻击者在把这些文件发回去之后就可以通过第一次突
破时的缺口再次进入整个系统。这就是它与Ramen蠕虫病毒的不同之处。事实上，Ramen病
毒是一种比较友善的病毒，它在侵入系统后会自动关闭其中的漏洞，而这个病毒却让那些
漏洞敞开并开辟新的漏洞。以至于如果你的系统感染了这个病毒，我们不能百分之百确信
这个系统有挽救的价值，更加合理的选择很有可能是转移你的数据并且重新格式化硬盘。
”

　　一旦计算机被彻底感染，“狮子”病毒就会强迫电脑开始在互联网上搜寻别的受害者
。不过，感染“狮子”病毒的系统少于感染Ramen病毒的系统，但是它所造成的损失却比后
者大得多。

　　随着Klez病毒在Linux平台上的传染，防毒软件厂商开始提醒我们微软的操作系统不再
是唯一易受病毒攻击的操作系统了。即使Linux和其他一些主流 UNIX平台的用户可能不是
微软捆绑应用软件的大用户，不可能通过这些软件造成病毒的泛滥，Linux和UNIX仍然有它
们自身并不引人注目的脆弱点。除了Klez以外，其他Linux/UNIX平台的主要威胁有：Lion
.worm、OSF.8759病毒、Slapper、Scalper、 Linux.Svat和BoxPoison病毒，这些都很少被
提及。

　　病毒的制造者是一些精通编写代码的黑客，他们远比那些胡乱涂改网站却对编写病毒
知之甚少的黑客要危险。一个被黑掉的网站可以很快修好，而病毒却更加隐蔽，会带来潜
在的安全隐患，它会一直潜伏，直到给系统带来不可挽回的损害。

　　另外，越多的Linux系统连接到局域网和广域网，就会有越多受攻击的可能，这是因为
很多Linux病毒正在快速地扩散着。使用WINE的 Linux/UNIX系统特别容易受到病毒的攻击
。WINE是一个公开源代码的兼容软件包，能让Linux平台运行Windows应用软件。 WINE系统
特别容易遭受病毒的攻击，因为它们会使无论是对Linux的还是对 Windows的病毒、蠕虫和
木马都能对系统产生威胁。

Linux平台下的病毒分类

　　可执行文件型病毒：可执行文件型病毒是指能够寄生在文件中的，以文件为主要感染
对象的病毒。病毒制造者们无论使用什么武器，汇编或者C，要感染ELF文件都是轻而易举
的事情。这方面的病毒如Lindose，当其发现一个ELF文件时，它将检查被感染的机器类型
是否为Intel 80386，如果是，则查找该文件中是否有一部分的大小大于 2,784字节（或十
六进制AEO），如果满足这些条件，病毒将用自身代码覆盖它并添加宿主文件的相应部分的
代码，同时将宿主文件的入口点指向病毒代码部分。一个名为Alexander Bartolich的学生
发表了一篇名为《如何编写一个Linux的病毒》的文章，详细描述了如何制作一个感染在L
inux/i386的ELF可执行文件的寄生文件病毒。有了这样具启发性的、在网上发布的文档，
基于Linux的病毒数量只会增长的更快，特别是自Linux的应用越来越广泛之后。

　　蠕虫（worm）病毒：1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和
病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包
含所有功能的版本传播到另外的计算机上。” （worm is a program that can run by i
tself and can propagate a fully working version of itself to other machines. ）
。在Linux平台下，蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen，lion，Slappe
r……这些臭名远播的家伙每一个都感染了大量的 Linux系统，造成了巨大的损失。它们就
是开放原代码世界的nimda，红色代码。在未来，这种蠕虫病毒仍然会愈演愈烈，Linux系
统应用越广泛，蠕虫的传播程度和破坏能力也会随之增加。

　　脚本病毒：目前出现比较多的是使用shell脚本语言编写的病毒。此类病毒编写较为简
单，但是破坏力同样惊人。我们知道，Linux系统中有许多的以.sh结尾的脚本文件，而一
个短短十数行的shell脚本就可以在短时间内遍历整个硬盘中的所有脚本文件，进行感染。
因此病毒制造者不需要具有很高深的知识，就可以轻易编写出这样的病毒，对系统进行破
坏，其破坏性可以是删除文件，破坏系统正常运行，甚至下载一个木马到系统中等等。


　　后门程序：在广义的病毒定义概念中，后门也已经纳入了病毒的范畴。活跃在Window
s系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系统超级用户账号
的简单后门，到利用系统服务加载，共享库文件注射，rootkit工具包，甚至可装载内核模
块（LKM），Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除。是Linux系统管
理员极为头疼的问题。

　　病毒、蠕虫和木马基本上意味着自动化的黑客行为，也许被病毒攻击比被黑客攻击更
可能发生。直接的黑客攻击目标一般是服务器，而病毒是等机会的麻烦制造者。如果你的
网络包含了Linux系统，特别危险的是服务器，不要在作出反应之前等待寻找Linux病毒、
蠕虫和木马是否存在。做一些调查然后选择一个适合你系统的防毒产品，它们能帮你防止
病毒的传播。至于Linux平台病毒在未来的发展，一切皆有可能。Windows下的病毒发展史
，也有可能在Linux上重演，这取决于Linux的发展。

--
给我最大愉快的事不是知识本身而是学习过程，不是所获得的成就而是获得成就的过程

                                                                                                                       ── Gauss

• 生活