系统安全：Linux 系统下的病毒发展及其分类

cnhnln

1996年的Staog是Linux系统下的第一个病毒，它出自澳大利亚一个叫VLAD
的组织（Windows 95下的第一个病毒程序Boza也系该组织所为）。Staog病毒是用汇
编语言编写，专门感染二进制文件，并通过三种方式去尝试得到root权限。 Staog病
毒并不会对系统有什么实质性的损坏。它应该算是一个演示版。它向世人揭示了Linux
可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是Bliss病毒，它是一
个不小心被释放出来的实验性病毒。与其它病毒不同的是，Bliss本身带有免疫程序
，只要在运行该程序时加上 “disinfect-files-please”选项，即可恢复系统。　
　

      　　如果说刚开始时Linux病毒向人们展示的仅仅是一个概念，那么，在2001
年发现的Ramen病毒，则已经开始引起很多人的担心。Ramen病毒可以自动传播，无需
人工干预，所以和1988年曾使人们大受其苦的 Morris蠕虫非常相似。它只感染Red
Hat 6.2和7.0版使用匿名FTP服务的服务器，它通过两个普通的漏洞RPC.statd和wu-
FTP感染系统。　　

      　　表面看来，这不是一个危险的病毒。它很容易被发现，且不会对服务器做
出任何有破坏性的事情。但是当它开始扫描时，将消耗大量的网络带宽。　　

      　　从1996年至今，新的Linux病毒屈指可数，这说明Linux是一个健壮的具有
先天病毒免疫能力的操作系统。当然，出现这种情况，除了其自身设计优秀外，还有
其它的原因。　　

      　　首先，Linux早期的使用者一般都是专业人士，就算是今天，虽然其使用
者激增，但典型的使用者仍为那些有着很好的电脑背景且愿意帮助他人的人， Linux
高手更倾向于鼓励新手支持这样一种文化精神。正因为如此，Linux使用群中一种倾
向就是以安全的经验尽量避免感染病毒。其次，年轻，也是Linux很少受到病毒攻击
的原因之一。事实上，所有的操作系统（包括DOS和Windows）在其产生之初，也很少
受到各种病毒的侵扰　　

      　　然而， 2001年3月，美国SANS学院的全球事故分析中心(Global Incident
Analysis Center——GIAC)发现，一种新的针对使用Linux系统的计算机的蠕虫病毒
正通过互联网迅速蔓延，它将有可能对用户的电脑系统造成严重破坏。这种蠕虫病毒
被命名为“狮子”病毒，与Ramen蠕虫病毒非常相似。但是，这种病毒的危险性更大
，“狮子”病毒能通过电子邮件把一些密码和配置文件发送到一个位于china.com的
域名上。Dartmouth学院安全技术研究所工程师威廉·斯蒂恩斯说：“攻击者在把这
些文件发回去之后就可以通过第一次突破时的缺口再次进入整个系统。这就是它与Ramen
蠕虫病毒的不同之处。事实上，Ramen病毒是一种比较友善的病毒，它在侵入系统后
会自动关闭其中的漏洞，而这个病毒却让那些漏洞敞开并开辟新的漏洞。以至于如果
你的系统感染了这个病毒，我们不能百分之百确信这个系统有挽救的价值，更加合理
的选择很有可能是转移你的数据并且重新格式化硬盘。”　　

      　　一旦计算机被彻底感染，“狮子”病毒就会强迫电脑开始在互联网上搜寻
别的受害者。不过，感染“狮子”病毒的系统少于感染Ramen病毒的系统，但是它所
造成的损失却比后者大得多。　　

      　　随着Klez病毒在Linux平台上的传染，防毒软件厂商开始提醒我们微软的
操作系统不再是唯一易受病毒攻击的操作系统了。即使Linux和其他一些主流 UNIX平
台的用户可能不是微软捆绑应用软件的大用户，不可能通过这些软件造成病毒的泛滥
，Linux和UNIX仍然有它们自身并不引人注目的脆弱点。除了Klez以外，其他Linux/
UNIX平台的主要威胁有：Lion.worm、OSF.8759病毒、Slapper、Scalper、 Linux.Svat
和BoxPoison病毒，这些都很少被提及。　　

      　　病毒的制造者是一些精通编写代码的黑客，他们远比那些胡乱涂改网站却
对编写病毒知之甚少的黑客要危险。一个被黑掉的网站可以很快修好，而病毒却更加
隐蔽，会带来潜在的安全隐患，它会一直潜伏，直到给系统带来不可挽回的损害。　
　

      　　另外，越多的Linux系统连接到局域网和广域网，就会有越多受攻击的可
能，这是因为很多Linux病毒正在快速地扩散着。使用WINE的 Linux/UNIX系统特别容
易受到病毒的攻击。WINE是一个公开源代码的兼容软件包，能让Linux平台运行Windows
应用软件。 WINE系统特别容易遭受病毒的攻击，因为它们会使无论是对Linux的还是
对 Windows的病毒、蠕虫和木马都能对系统产生威胁。　　

      　　Linux平台下的病毒分类　　

      　　可执行文件型病毒：可执行文件型病毒是指能够寄生在文件中的，以文件
为主要感染对象的病毒。病毒制造者们无论使用什么武器，汇编或者C，要感染ELF
文件都是轻而易举的事情。这方面的病毒如Lindose，当其发现一个ELF文件时，它将
检查被感染的机器类型是否为Intel 80386，如果是，则查找该文件中是否有一部分
的大小大于 2,784字节（或十六进制AEO），如果满足这些条件，病毒将用自身代码
覆盖它并添加宿主文件的相应部分的代码，同时将宿主文件的入口点指向病毒代码部
分。一个名为Alexander Bartolich的学生发表了一篇名为《如何编写一个Linux的病
毒》的文章，详细描述了如何制作一个感染在Linux/i386的ELF可执行文件的寄生文
件病毒。有了这样具启发性的、在网上发布的文档，基于Linux的病毒数量只会增长
的更快，特别是自Linux的应用越来越广泛之后。　　

      　　蠕虫（worm）病毒：1988年Morris蠕虫爆发后，Eugene H. Spafford 为
了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并
能把自身的一个包含所有功能的版本传播到另外的计算机上。” （worm is a program
that can run by itself and can propagate a fully working version of itself
to other machines. ）。在Linux平台下，蠕虫病毒极为猖獗，像利用系统漏洞进
行传播的ramen，lion，Slapper……这些臭名远播的家伙每一个都感染了大量的 Linux
系统，造成了巨大的损失。它们就是开放原代码世界的nimda，红色代码。在未来，
这种蠕虫病毒仍然会愈演愈烈，Linux系统应用越广泛，蠕虫的传播程度和破坏能力
也会随之增加。　　

      　　脚本病毒：目前出现比较多的是使用shell脚本语言编写的病毒。此类病
毒编写较为简单，但是破坏力同样惊人。我们知道，Linux系统中有许多的以.sh结尾
的脚本文件，而一个短短十数行的shell脚本就可以在短时间内遍历整个硬盘中的所
有脚本文件，进行感染。因此病毒制造者不需要具有很高深的知识，就可以轻易编写
出这样的病毒，对系统进行破坏，其破坏性可以是删除文件，破坏系统正常运行，甚
至下载一个木马到系统中等等。　　

      　　后门程序：在广义的病毒定义概念中，后门也已经纳入了病毒的范畴。活
跃在Windows系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系
统超级用户账号的简单后门，到利用系统服务加载，共享库文件注射，rootkit工具
包，甚至可装载内核模块（LKM），Linux平台下的后门技术发展非常成熟，隐蔽性强
，难以清除。是Linux系统管理员极为头疼的问题。　　

      　　病毒、蠕虫和木马基本上意味着自动化的黑客行为，也许被病毒攻击比被
黑客攻击更可能发生。直接的黑客攻击目标一般是服务器，而病毒是等机会的麻烦制
造者。如果你的网络包含了Linux系统，特别危险的是服务器，不要在作出反应之前
等待寻找Linux病毒、蠕虫和木马是否存在。做一些调查然后选择一个适合你系统的
防毒产品，它们能帮你防止病毒的传播。至于Linux平台病毒在未来的发展，一切皆
有可能。Windows下的病毒发展史，也有可能在 Linux上重演，这取决于Linux的发展
。
      发布人:snow 来自:eNet硅谷动力

saucyfalcon

中毒了之后如何救治呢？
windows下的防治、救治方法铺天盖地，而linux下的呢？
另外，能否推荐几款杀毒软件呢？

betatoy

系統都焦了, 還是重裝吧