1996年出現的Staog是Linux系統下的第一個病毒，它出自澳大利亞一個叫VLAD的組織。Staog病毒是用匯編語言編寫，專門感染二進制文件，并通過三種方式去嘗試得到root權限。Staog病毒并不會對系統有什么實質性的損壞，它應該算是一個演示版，但它向世人揭示了Linux可能被病毒感染的潛在危險。Linux系統上第二個被發現的病毒是Bliss病毒，它是一個不小心被釋放出來的實驗性病毒。與其它病毒不同的是，Bliss本身帶有免疫程序，只要在運行該程序時加上“disinfect-files-please”選項，即可恢復系統。

如果說剛開始時Linux病毒向人們展示的僅僅是一個概念，那么，在2001年發現的Ramen病毒，則已經開始引起很多人的擔心。Ramen病毒可以自動傳播，無需人工干預，所以和1988年曾使人們大受其苦的Morris蠕蟲非常相似。它只感染Red Hat 6.2和7.0版使用匿名FTP服務的服務器，它通過兩個普通的漏洞RPC.statd和wu-FTP感染系統。表面看來，這不是一個危險的病毒，它很容易被發現，且不會對服務器做出任何有破壞性的事情。但是當它開始掃描時，將消耗大量的網絡帶寬。從1996年至今，新的Linux病毒屈指可數，這說明Linux是一個健壯的、具有先天病毒免疫能力的操作系統。當然，除了其自身設計優秀外，還有其它的原因。首先，Linux早期的使用者一般都是專業人士，就算是今天，雖然其使用者激增，但典型的使用者仍為那些有著很好的電腦背景且愿意幫助他人的人，Linux高手更傾向于鼓勵新手支持這樣一種文化精神。

正因為如此，Linux使用群中一種傾向就是以安全的經驗盡量避免感染病毒。其次，年輕也是Linux很少受到病毒攻擊的原因之一。事實上，所有的操作系統(包括DOS和Windows)在其產生之初，也很少受到各種病毒的侵擾。然而，2001年3月，美國SANS學院的全球事故分析中心(Global Incident Analysis Center——GIAC)發現，一種新的、針對使用Linux系統計算機的蠕蟲病毒正通過互聯網迅速蔓延，它將有可能對用戶的電腦系統造成嚴重破壞。這種蠕蟲病毒被命名為Lion病毒，與Ramen蠕蟲病毒非常相似。但是，這種病毒的危險性更大，Lion病毒能通過電子郵件把一些密碼和配置文件發送到一個位于china.com的域名上。

Dartmouth學院安全技術研究所工程師威廉·斯蒂恩斯說：“攻擊者在把這些文件發回去之后就可以通過第一次突破時的缺口再次進入整個系統。這就是它與Ramen蠕蟲病毒的不同之處。事實上，Ramen病毒是一種比較友善的病毒，它在侵入系統后會自動關閉其中的漏洞。而這個病毒卻讓那些漏洞敞開，并開辟新的漏洞。以至于如果你的系統感染了這個病毒，我們不能百分之百確信這個系統有挽救的價值。更加合理的選擇很有可能是轉移數據，并且重新格式化硬盤。”一旦計算機被徹底感染，Lion病毒就會強迫電腦開始在互聯網上搜尋別的受害者。不過，感染Lion病毒的系統少于感染Ramen病毒的系統，但是它所造成的損失卻比后者大得多。

二、Linux平臺下的病毒分類

Linux操作系統一直被認為是Windows系統的勁敵，因為它不僅安全、穩定、成本低，而且很少發現有病毒傳播。但是，隨著越來越多的服務器、工作站和個人電腦使用Linux軟件，電腦病毒制造者也開始攻擊這一系統。對于Linux系統無論是服務器，還是工作站的安全性和權限控制都是比較強大的，這主要得力于其優秀的技術設計，不僅使它的操作系統難以宕機，而且也使其難以被濫用。Unix經過20多年的發展和完善，已經變得非常堅固，而Linux基本上繼承了它的優點。在Linux里，如果不是超級用戶，那么惡意感染系統文件的程序將很難得逞。當然，這并不是說Linux就無懈可擊，病毒從本質上來說是一種二進制的可執行的程序。像速客一號(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、 米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會損壞Linux服務器，但是卻會傳播給訪問它的Windows系統平臺的計算機。

Linux平臺下的病毒分類大體如下：

◆ 可執行文件型病毒

可執行文件型病毒是指能夠寄生在文件中的、以文件為主要感染對象的病毒。病毒制造者們無論使用什么武器，不管是匯編語言或C語言，要感染ELF文件都是輕而易舉的事情。這方面的病毒有Lindose。

◆ 蠕蟲（Worm）病毒

1988年Morris蠕蟲爆發后，Eugene H. Spafford為了區分蠕蟲和病毒，給出了蠕蟲的技術角度的定義——計算機蠕蟲可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上。在Linux平臺下，蠕蟲病毒極為猖獗，像利用系統漏洞進行傳播的Ramen、Lion和Slapper等，這些病毒都感染了大量的Linux系統，造成了巨大的損失。

◆ 腳本病毒

目前出現比較多的是使用Shell腳本語言編寫的病毒。此類病毒編寫較為簡單，但是破壞力同樣驚人。我們知道，Linux系統中有許多的以.sh結尾的腳本文件，而一個短短十數行的Shell腳本就可以在短時間內遍歷整個硬盤中的所有腳本文件，進行感染。

◆ 后門程序

在廣義的病毒定義概念中，后門也已經納入了病毒的范疇。活躍在Windows系統中的后門這一入侵者的利器在Linux平臺下同樣極為活躍。從增加系統超級用戶賬號的簡單后門，到利用系統服務加載、共享庫文件注射、rootkit工具包，甚至可裝載內核模塊(LKM)，Linux平臺下的后門技術發展非常成熟，隱蔽性強，難以清除。這是Linux系統管理員極為頭疼的問題。

三、Linux病毒的防治

綜合以上介紹可以看到，總體來說計算機病毒對Linux系統的危害較小。但是由于各種原因在企業應用中往往是Linux和Windows操作系統共存形成異構網絡，在服務器端大多使用Linux和Unix，在桌面端使用Windows，所以Linux的防范病毒策略分成針對Linux本身(服務器和使用其作為桌面的計算機)防范策略和針對使用Linux服務器后端的Windows系統的病毒防范策略兩個部分，Linux下的防病毒軟件也分成基于開放源代碼的和商業軟件兩部分。

◆ 針對Linux本身做病毒防范策略（服務器和使用其作為桌面的計算機）

對可執行文件型病毒、蠕蟲(Worm)病毒、腳本病毒的防范，通過安裝GPL查殺病毒軟件基本可以防范。服務器端可以使用AntiVir(http://www.hbedv.com/)查殺病毒。它是工作在命令行下的，運行時可以較少占用系統資源。桌面用戶可以選擇Tkantivir(http://www.sebastian-geiges.de/tkantivir/)，它是用Tcl/Tk編寫的，可以運行在任何X-Window環境下面，比如KDE或GNOME等。

對于后門程序防范，可以采用

LIDS(http://www.lids.org/)和Chkrootkit(http://www.chkrootkit.org/)。LIDS是Linux內核補丁和系統管理員工具(Lidsadm)，它加強了Linux內核，可以保護dev/目錄下的重要文件。而Chkrootkit可以檢測系統的日志和文件，查看是否有惡意程序侵入系統，并且尋找關聯到不同惡意程序的信號。最新版本的Chkrootkit0.45可以檢測出sniffers、Trojans、worms、rootkit等100種病毒。

此外，對于Linux服務器來說運行的軟件大都是開源軟件，而且都在不停升級，穩定版和測試版交替出現。在www.apache.org等網站上，最新的ChangeLog中都寫有“Bug Fix”、“Security Bug Fix”等字樣。所以，Linux系統管理員要經常關注相關網站的Bug Fix和升級，及時升級或添加補丁，千萬不要報僥幸心理。這里套用一句名言：“你的服務器永遠可能在第二天被黑客接管。”

◆ 針對使用Linux服務器后端的Windows系統的病毒防范策略

許多企業使用代理服務器接人互聯網，用戶的Windows系統在進行HTTP網頁瀏覽和文件下載時容易被感染病毒，所以可以在代理服務器上加掛一個病毒過濾器，對用戶瀏覽的HTTP網頁進行病毒檢測，發現有用戶瀏覽網頁感染病毒的狀況即由代理服務器進行阻斷，丟棄帶有病毒的請求，將不安全的進程阻止在代理服務器內，禁止帶有病毒的數據向客戶端計算機傳播。Squid是一款非常優秀的代理服務器軟件，但是沒有專門的病毒過濾功能。可以考慮使用德國開放源碼愛好者開發的一款基于Linux的病毒過濾代理服務器--HAVP(http://www.server-side.de/)。

HAVP病毒過濾代理服務器軟件既可以獨立使用，也可以與Squid串聯使用，增強Squid代理服務器的病毒過濾功能。

提供郵件服務是Linux服務器中重要應用，可以使用ClamAV(http://www.clamwin.com/)防范病毒。ClamAV全名是Clam AntiVirus，它跟Liunx一樣強調公開程序代碼、免費授權等觀念。ClamAV目前可以偵測超過8萬種病毒、蠕蟲和木馬程序，并且隨時更新數據庫。其分布在世界各地的病毒專家24小時更新及維護病毒數據庫，任何人發現可疑病毒也可以隨時跟他們聯系，立刻更新病毒碼。這樣在極短的時間內，網絡上采用ClamAV的郵件服務器就能完成最新的防護。

以上主要介紹了基于開放源代碼的軟件，商業防毒軟件商Trend Micro、Network Associates、Data Fellows和Sophos也都有各自的Linux版病毒檢測器。另外，隨著Linux在中國的發展許多我們熟悉的國內軟件廠商（瑞星等）也推出了相應的Linux病毒防范軟件。