平台下的病毒分类

11.2.2　Linux平台下的病毒分类

1.可执行文件型病毒

可执行文件型病毒是指能够寄生在文件中的，以文件为主要感染对象的病毒。病毒制造者们无论使用什么“武器”，汇编或者C，要感染ELF文件都是轻而易举的事情。这方面的病毒如Lindose，当其发现一个ELF文件时，它将检查被感染的机器类型是否为Intel 80386，如果是，则查找该文件中是否有一部分的大小大于2 784字节（或十六进制AEO），如果满足这些条件，病毒将用自身代码覆盖它并添加宿主文件的相应部分的代码，同时将宿主文件的入口点指向病毒代码部分。一个名为Alexander Bartolich的学生发表了一篇名为《如何编写一个Linux的病毒》的文章，详细描述了如何制作一个感染在Linux/i386的ELF可执行文件的寄生文件病毒。有了这样具启发性的、在网上发布的文档，基于Linux的病毒数量只会增长得更快，特别是自Linux的应用越来越广泛之后。

2.蠕虫（Worm）病毒

1988年Morris蠕虫爆发后，Eugene H.Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上”（Worm is a program that can run by itself and can propagate a fully working version of itself to other machines.）。在Linux平台下，蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen，lion，Slapper……这些蠕虫病毒每一个都感染了大量的Linux系统，造成了巨大的损失。它们就是开放原代码世界的nimda，红色代码。在未来，这种蠕虫病毒仍然会愈演愈烈，Linux系统应用越广泛，蠕虫的传播程度和破坏能力也会随之增加。

3.脚本病毒

目前出现比较多的是使用Shell脚本语言编写的病毒。此类病毒编写较为简单，但是破坏力却惊人。我们知道，Linux系统中有许多的以.sh结尾的脚本文件，而一个短短数十行的Shell脚本就可以在短时间内感染整个硬盘中的所有脚本文件。因此病毒制造者不需要具有很高深的知识，就可以轻易编写出这样的病毒，对系统进行破坏，其破坏性可以是删除文件，破坏系统正常运行，甚至下载一个木马到系统中等。

4.后门程序

在广义的病毒定义概念中，后门也已经纳入了病毒的范畴。活跃在Windows系统中的后门这一入侵者的利器在Linux平台下同样极为活跃。从增加系统超级用户账号的简单后门，到利用系统服务加载，共享库文件注射，rootkit工具包，甚至可装载内核模块（LKM），Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除，是Linux系统管理员极为头疼的问题。

病毒、蠕虫和木马基本上意味着自动化的黑客行为，也许被病毒攻击比被黑客攻击更可能发生。直接的黑客攻击目标一般是服务器，而病毒是等机会的麻烦制造者。如果用户的网络包含了Linux系统，特别危险的是服务器，不要在作出反应之前等待寻找Linux病毒、蠕虫和木马是否存在。做一些调查然后选择一个适合你系统的防毒产品，它们能帮用户防止病毒的传播。至于Linux平台病毒在未来的发展，一切皆有可能。Windows下的病毒发展史，也有可能在Linux上重演，这取决于Linux的发展。