1996 年的 Staog 是 Linux
系统下的第一个病毒,它出自澳大利亚一个叫 VLAD 的组织( Windows 95 下的第一个病毒程序 Boza 也系该组织所为)。
Staog 病毒是用汇编语言编写,专门感染二进制文件,并通过三种方式去尝试得到 root 权限。 Staog
病毒并不会对系统有什么实质性的损坏。它应该算是一个演示版。它向世人揭示了 Linux 可能被病毒感染的潜在危险。 Linux
系统上第二个被发现的病毒是 Bliss 病毒,它是一个不小心被释放出来的实验性病毒。与其它病毒不同的是, Bliss
本身带有免疫程序,只要在运行该程序时加上 “disinfect-files-please” 选项,即可恢复系统。
如果说刚开始时 Linux 病毒向人们展示的仅仅是一个概念,那么,在 2001 年发现的 Ramen
病毒,则已经开始引起很多人的担心。 Ramen 病毒可以自动传播,无需人工干预,所以和 1988 年曾使人们大受其苦的 Morris
蠕虫非常相似。它只感染 Red Hat 6.2 和 7.0 版使用匿名 FTP 服务的服务器,它通过两个普通的漏洞
RPC.statd 和 wu-FTP 感染系统。
表面看来,这不是一个危险的病毒。它很容易被发现,且不会对服务器做出任何有破坏性的事情。但是当它开始扫描时,将消耗大量的网络带宽。
从 1996 年至今,新的 Linux 病毒屈指可数,这说明 Linux
是一个健壮的具有先天病毒免疫能力的操作系统。当然,出现这种情况,除了其自身设计优秀外,还有其它的原因。
首先, Linux
早期的使用者一般都是专业人士,就算是今天,虽然其使用者激增,但典型的使用者仍为那些有着很好的电脑背景且愿意帮助他人的人, Linux
高手更倾向于鼓励新手支持这样一种文化精神。正因为如此, Linux
使用群中一种倾向就是以安全的经验尽量避免感染病毒。其次,年轻,也是 Linux
很少受到病毒攻击的原因之一。事实上,所有的操作系统(包括 DOS 和 Windows )在其产生之初,也很少受到各种病毒的侵扰。
然而, 2001 年 3 月,美国 SANS 学院的全球事故分析中心 (Global
Incident Analysis Center——GIAC) 发现,一种新的针对使用 Linux
系统的计算机的蠕虫病毒正通过互联网迅速蔓延,它将有可能对用户的电脑系统造成严重破坏。这种蠕虫病毒被命名为 “ 狮子 ” 病毒,与
Ramen 蠕虫病毒非常相似。但是,这种病毒的危险性更大, “ 狮子 ” 病毒能通过电子邮件把一些密码和配置文件发送到一个位于
china.com 的域名上。 Dartmouth 学院安全技术研究所工程师威廉 · 斯蒂恩斯说: “
攻击者在把这些文件发回去之后就可以通过第一次突破时的缺口再次进入整个系统。这就是它与 Ramen 蠕虫病毒的不同之处。事实上,
Ramen
病毒是一种比较友善的病毒,它在侵入系统后会自动关闭其中的漏洞,而这个病毒却让那些漏洞敞开并开辟新的漏洞。以至于如果你的系统感染了这个病毒,我们不能百分之百确信这个系统有挽救的价值,更加合理的选择很有可能是转移你的数据并且重新格式化硬盘。
”
一旦计算机被彻底感染, “ 狮子 ” 病毒就会强迫电脑开始在互联网上搜寻别的受害者。不过,感染 “
狮子 ” 病毒的系统少于感染 Ramen 病毒的系统,但是它所造成的损失却比后者大得多。
随着 Klez 病毒在 Linux
平台上的传染,防毒软件厂商开始提醒我们微软的操作系统不再是唯一易受病毒攻击的操作系统了。即使 Linux 和其他一些主流 UNIX
平台的用户可能不是微软捆绑应用软件的大用户,不可能通过这些软件造成病毒的泛滥, Linux 和 UNIX
仍然有它们自身并不引人注目的脆弱点。除了 Klez 以外,其他 Linux/UNIX 平台的主要威胁有: Lion.worm 、
OSF.8759 病毒、 Slapper 、 Scalper 、 Linux.Svat 和 BoxPoison
病毒,这些都很少被提及。
病毒的制造者是一些精通编写代码的黑客,他们远比那些胡乱涂改网站却对编写病毒知之甚少的黑客要危险。一个被黑掉的网站可以很快修好,而病毒却更加隐蔽,会带来潜在的安全隐患,它会一直潜伏,直到给系统带来不可挽回的损害。
另外,越多的 Linux 系统连接到 lan/Index.html'>
局域网和广域网,就会有越多受攻击的可能,这是因为很多 Linux 病毒正在快速地扩散着。使用 WINE 的 Linux/UNIX
系统特别容易受到病毒的攻击。 WINE 是一个公开源代码的兼容软件包,能让 Linux 平台运行 Windows 应用软件。
WINE 系统特别容易遭受病毒的攻击,因为它们会使无论是对 Linux 的还是对 Windows
的病毒、蠕虫和木马都能对系统产生威胁。
Linux 平台下的病毒分类
可执行文件型病毒:可执行文件型病毒是指能够寄生在文件中的,以文件为主要感染对象的病毒。病毒制造者们无论使用什么武器,汇编或者
C ,要感染 ELF 文件都是轻而易举的事情。这方面的病毒如 Lindose ,当其发现一个 ELF
文件时,它将检查被感染的机器类型是否为 Intel 80386 ,如果是,则查找该文件中是否有一部分的大小大于 2,784
字节(或十六进制 AEO
),如果满足这些条件,病毒将用自身代码覆盖它并添加宿主文件的相应部分的代码,同时将宿主文件的入口点指向病毒代码部分。一个名为
Alexander Bartolich 的学生发表了一篇名为《如何编写一个 Linux 的病毒》的文章,详细描述了如何制作一个感染在
Linux/i386 的 ELF 可执行文件的寄生文件病毒。有了这样具启发性的、在网上发布的文档,基于 Linux
的病毒数量只会增长的更快,特别是自 Linux 的应用越来越广泛之后。
蠕虫( worm )病毒: 1988 年 Morris 蠕虫爆发后, Eugene H.
Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义, “
计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。 ” ( worm is a program
that can run by itself and can propagate a fully working version
of itself to other machines. )。在 Linux 平台下,蠕虫病毒极为猖獗,像利用系统漏洞进行传播的
ramen , lion , Slapper…… 这些臭名远播的家伙每一个都感染了大量的 Linux
系统,造成了巨大的损失。它们就是开放原代码世界的 nimda ,红色代码。在未来,这种蠕虫病毒仍然会愈演愈烈, Linux
系统应用越广泛,蠕虫的传播程度和破坏能力也会随之增加。
脚本病毒:目前出现比较多的是使用 shell
脚本语言编写的病毒。此类病毒编写较为简单,但是破坏力同样惊人。我们知道, Linux 系统中有许多的以 .sh
结尾的脚本文件,而一个短短十数行的 shell
脚本就可以在短时间内遍历整个硬盘中的所有脚本文件,进行感染。因此病毒制造者不需要具有很高深的知识,就可以轻易编写出这样的病毒,对系统进行破坏,其破坏性可以是删除文件,破坏系统正常运行,甚至下载一个木马到系统中等等。
后门程序:在广义的病毒定义概念中,后门也已经纳入了病毒的范畴。活跃在 Windows
系统中的后门这一入侵者的利器在 Linux
平台下同样极为活跃。从增加系统超级用户账号的简单后门,到利用系统服务加载,共享库文件注射, rootkit
工具包,甚至可装载内核模块( LKM ), Linux 平台下的后门技术发展非常成熟,隐蔽性强,难以清除。是 Linux
系统管理员极为头疼的问题。
病毒、蠕虫和木马基本上意味着自动化的黑客行为,也许被病毒攻击比被黑客攻击更可能发生。直接的黑客攻击目标一般是服务器,而病毒是等机会的麻烦制造者。如果你的网络包含了
Linux 系统,特别危险的是服务器,不要在作出反应之前等待寻找 Linux 病 ?/a>
、蠕虫和木马是否存在。做一些调查然后选择一个适合你系统的防毒产品,它们能帮你防止病毒的传播。至于 Linux
平台病毒在未来的发展,一切皆有可能。
Windows 下的病毒发展史,也有可能在 Linux 上重演,这取决于 Linux 的发展。
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
