Linux病毒研究与分析

 前言：

在我们日常生活中早就对windows中的病毒习惯了，对付windows中的病毒。我们有很多办法：杀毒软件、专杀工具等，但是这些东西往往主要集中在windows这一领域。

随着网络的发展，很多企业痘使用了Linux操作系统，原因主要是Linux的安全性比较高，但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。

一、 Linux病毒史

1996年：破解组织VLAD发布了Linux第一个病毒Staog，它能利用内核的一个漏洞感染可执行文件，随着该漏洞迅速被修复，这个病毒也就随即消失了；

1997年：Bliss病毒感染可执行文件，阻止其运行，以root权限浏览Bliss病毒会导致系统被感染；

1998年：空白的一年；

1999年：没有重要的Linux病毒爆发，只有Windows上流传一个愚人节笑话，名叫Tuxissa的病毒会在Win机器上悄悄安装Linux；

2000年：一个基本无害的病毒Virus.Linux.Winter.341会把电脑名字改为Wintermute，但不会控制电脑；

2001年：对于Linux来说这是不平常的一年，首先是一个并无多大危害的ZipWorm，它只会攻击zip文件；之后是一个同样没有太大危害的病毒Satyr，它仅针对ELF文件；还有一个名为“拉面”（Ramen）的病毒，它会将Index.html文件替换为自己的版本；此外Linux在当年还遭遇了Cheese等病毒，不过这些病毒的威胁性都不大。

2002年：存在于Apache中的一个漏洞导致的Mighty蠕虫病毒的出现和传播，该病毒会利用Apache SSL接口中的一个漏洞感染计算机，成功后它会创建一个秘密的链接，连接至IRC服务器，并等待指令。

2003年：同样是一个基本无害的病毒Rike，它会隐藏在ELF文件中，然后扩大该文件所需要的空间，并且在空白空间内写入RIKE；

2004年：这一年出现的病毒与上一年基本没有什么区别，名为Binom，它会隐藏在ELF文件中，然后扩大该文件所需要的空间，并且在空白空间内写入[ Cyneox/DCA字符串；

2005年：Lupper蠕虫病毒开始在Web服务器间传播，它会攻击一个寻找特定URL的Web服务器，然而利用PHP/CGI脚本中存在的一个漏洞进行攻击；

2006年：2002年的病毒Mighty的变种Kaiten出现，其攻击方法与Mighty相同；

2007年：BadBunny病毒利用OpenOffice漏洞感染Windows、Mac和Linux；

2008年：空白的一年；

2009年：GNOME屏保网站发现名为WaterFall的屏保会在安装后开启一个后门，控制电脑发动DDOS攻击，攻击的网站是MMOwned.com；

2010年：koobface病毒会收集FTP和社交网站的登录信息和密码，并利用社交网站向朋友发送病毒文件。

从上面的linux病毒史来看，linux系统下的病毒掰着手指头都可以数清楚的，说明linux系统是一个非常安全的系统，当然是相对于windows系统的，用惯了windows系统的人往往不习惯为什么linux系统不安装杀毒软件，看了上面的linux病毒史之后就明白了，因为没必要。

二、 病毒攻击类型

要想有效的防范Linux下的病毒，就必须对Linux下病毒的基本原理和发作时的症状进行分析，灵活的采用各种方法对病毒进行限制、清除和数据恢复。由于Linux和Windows的文件存储形式不同，所以杀毒的原理和方法也不同，根据Linux病毒史，Linux下的病毒一般分为以下几类：

1、感染ELF格式文件的病毒

原理：这类病毒以ELF格式的文件为主要感染目标，通过汇编或者C可以写出能感染ELF文件的病毒。

流程：Lindose病毒就 是一能感染ELF文件的病毒，当它发现一个ELF文件时，将检查被感染的机器类型是否为Intel80386。如果是，则查找该文件中是否有一部分的大小大于2784字节(或十六进制AEO)，如果有，病毒就会用自身代码覆盖它并添加宿主文件的相应部分的代码，同时将宿主文件的入口点指向病毒代码部分。

防范：由于Linux下有良好的权限控制机制，所以这类病毒要有足够的权限才能进行传播。在防范此类病毒时，我们要注意管理好自己Linux系统中的各种文件的权限，特别要注意的是在做日常操作时不要使用root账号，最好不要以root身份运行来历不明的可执行文