1.3 计算机病毒的分类
从第一种计算机病毒出世以来,究竟世界上有多少种计算机病毒,没有权威机构给出过说明,但很明显,如今计算机病毒是越来越多了,每天网络上都会新增数以万计的病毒。病毒、木马、蠕虫等,都是我们日常网络生活中经常碰到的关于病毒的概念,那么,究竟病毒是怎么分类的呢?对计算机病毒进行分类,是为了更好地了解它们。按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。
1.3.1 计算机病毒的基本分类——一般分类方法
综合病毒本身的技术特点、攻击目标、传播方式等各个方面,一般情况下,我们将病毒大致分为以下几类:传统病毒、宏病毒、恶意脚本、木马、黑客程序、蠕虫、破坏性程序。
1. 传统病毒
传统病毒通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒。
2. 宏病毒
宏病毒(Macro)是利用Word、Excel等的宏脚本功能进行传播的病毒。
3. 恶意脚本
恶意脚本(Script)即以破坏为目的的脚本程序。包括HTML脚本,批处理脚本,VB、JS脚本等。
4. 木马程序
当木马(Trojan)程序被激活或启动后用户无法终止其运行。广义上说,所有的网络服务程序都是木马,判定木马病毒的标准不好确定,通常的标准是:在用户不知情的情况下安装,隐藏在后台,服务器端一般没有界面无法配置的即为木马病毒。
5. 黑客程序
黑客(Hack)程序利用网络来攻击其他计算机的网络工具,被运行或激活后就像其他正常程序一样有界面。黑客程序是用来攻击/破坏别人的计算机,对使用者本身的机器没有损害。
6. 蠕虫程序
蠕虫(Worm)病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒。
7. 破坏性程序
破坏性程序(Harm)启动后,破坏用户的计算机系统,如删除文件、格式化硬盘等。常见的是bat文件,也有一些是可执行文件,有一部分和恶意网页结合使用。纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统,然后再伺机感染其他的软盘或硬盘,例如:“Stoned 3(米开朗基罗)”、“Disk Killer”和“Head Eleven”等。
1.3.2 按照计算机病毒攻击的系统分类
1. 攻击DOS系统的计算机病毒
这类计算机病毒出现最早、最多,变种也最多,此类计算机病毒占计算机病毒总数的相当大的一部分。
2. 攻击Windows系统的计算机病毒
由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,因此Windows系统也成为计算机病毒攻击的主要对象,利用Windows系统的漏洞进行攻击的案例也愈来愈多,手段也越来越隐蔽。
3. 攻击UNIX系统的计算机病毒
UNIX系统应用非常广泛,许多大型的应用系统均采用UNIX作为其主要的操作系统,所以UNIX系统计算机病毒的出现,对人类的信息处理也是一个严重的威胁。
4. 攻击OS/2系统的计算机病毒
世界上已经发现第一个攻击OS/2系统的计算机病毒,它虽然简单,但也是一个不祥之兆。
5. 攻击Macintosh系统的病毒
这类病毒的例子出现在苹果机上。Mac OS上曾有过3个低危病毒;在Mac OS X上有过一个通过iChat传播的低危病毒。越来越多的证据表明,网络罪犯越来越有兴趣开始创造机会攻击Mac电脑,看看是否能为其带来经济收益。例如一种木马病毒,利用Apple Remote Desktop agent(ARD)上的弱点,以名为ASthtv05的汇编AppleScript的形式或以名为AStht_v06的捆绑应用程序的形式来传播。该ARD允许木马病毒以root形式运行。
6. 攻击其他操作系统的病毒
包括手机病毒、PDA病毒等。在主流智能手机操作系统中,安卓系统成为智能手机病毒的“重灾区”。安卓手机的用户正在成为手机病毒疯狂攻击的重点,九成以上的手机病毒是针对安卓系统,并且病毒的数量还在快速增长。例如“安卓吸费王”恶意扣费软件会连续植入多款应用软件中进行传播;“安卓蠕虫群”恶意软件一旦入侵用户手机,会自动外发大量扣费短信。
1.3.3 按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒的传染方式进行分类,计算机病毒有以下几种。
1. 磁盘引导区传染的计算机病毒
磁盘引导区传染的计算机病毒主要是用计算机病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种计算机病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录被破坏。磁盘引导区传染的计算机病毒较多,例如,“大麻”和“小球”计算机病毒就是这类计算机病毒。
2. 操作系统传染的计算机病毒
操作系统是计算机系统得以运行的支持环境,它包括许多可执行工具及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块或漏洞等寄生并传染的。通常,这类计算机病毒作为操作系统的一部分,就处在随时被触发的状态。而操作系统的开放性和不绝对完善性增加了这类计算机病毒出现的可能性与传染性。操作系统传染的计算机病毒目前已广泛存在,“黑色星期五”即为此类计算机病毒。
3. 可执行程序传染的计算机病毒
可执行程序传染的计算机病毒通常寄生在可执行程序中,一旦程序被执行,计算机病毒也就被激活,而且计算机病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
对于以上3种计算机病毒的分类,实际上可以归纳为两大类:一类是引导扇区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
1.3.4 按照计算机病毒的攻击机型分类
1. 攻击微型计算机的计算机病毒
这是世界上传染最为广泛的计算机病毒。
2. 攻击小型机的计算机病毒
小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机,也可以作为计算机网络的主机。自1988年11月份Internet受到worm程序的攻击后,人们认识到小型机也同样不能免遭计算机病毒的攻击。
3. 攻击工作站的计算机病毒
随着计算机工作站应用的日趋广泛,攻击计算机工作站的计算机病毒的出现也是对信息系统的一大威胁。
4. 攻击大型机的病毒
由于大型机使用专用的处理器指令集、操作系统和应用软件,攻击大型机的病毒微乎其微。但是,病毒对大型机的攻击威胁仍然存在。例如,在20世纪60年代末,在大型机UnivaX1108系统上出现了可将自身链接于其他程序之后的类似于当代病毒本质的计算机程序。
5. 攻击计算机网络的病毒
在计算机网络得到空前应用的今天,在因特网上出现的网络病毒已经是屡见不鲜。
6. 攻击手机的病毒
随着移动应用/物联网等的普及,在移动手机上的病毒也越来越多,而且发展迅猛。
1.3.5 按照计算机病毒的链接方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,因此计算机病毒所攻击的对象是计算机系统可执行的部分。按照链接方式分类,计算机病毒有以下几种。
1. 源码型计算机病毒
该计算机病毒能攻击用高级语言编写的程序,并在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
2. 嵌入型计算机病毒
这种计算机病毒是将自身嵌入到现有程序中,把病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时综合采用了多态性计算机病毒技术、超级计算机病毒技术和隐蔽性计算机病毒技术,那么这就将给当前的反计算机病毒技术带来严峻的挑战。
3. 外壳型计算机病毒
外壳型计算机病毒将其自身包围在主程序的四周,对原来的程序不做修改。这种计算机病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知道。
4. 操作系统型计算机病毒
这种计算机病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。“圆点”计算机病毒和“大麻”计算机病毒就是典型的操作系统型计算机病毒。这种计算机病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据计算机病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用,以及计算机病毒取代操作系统的取代方式等的不同,对操作系统实施不同程度的破坏。
5. 定时炸弹型病毒
许多微机上配有供系统时钟用的扩充板,扩充板上有可充电电池和CMOS存储器,定时炸弹型病毒可避开系统的中断调用,通过低层硬件访问对CMOS存储读写。因而这类程序利用这一地方作为传染、触发、破坏的标志,甚至干脆将病毒程序的一部分寄生到这个地方,因这个地方有锂电池为它提供保护,不会因关机或断电而丢失,所以这类病毒十分危险。
1.3.6 按照计算机病毒的破坏情况分类
1. 良性计算机病毒
良性计算机病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。有些人对这类计算机病毒的传染认为只是恶作剧,其实良性、恶性都是相对而言的。良性计算机病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,不时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种计算机病毒交叉感染的现象,一个文件不停地反复被几种计算机病毒所感染。例如,原来只有10KB的文件变成约90KB,就是由于被几种计算机病毒反复感染了数十次。这不仅会消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种计算机病毒寄生于其中而无法正常工作,因此也不能轻视所谓良性计算机病毒对计算机系统造成的损害。
2. 恶性计算机病毒
恶性计算机病毒就是指在其中包含有损伤和破坏计算机系统操作的代码,在其传染或发作时会对系统产生直接的破坏作用。这类计算机病毒是很多的,如“米开朗基罗”计算机病毒。当“米开朗基罗”计算机病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的计算机病毒还会对硬盘做格式化等破坏。恶性计算机病毒是很危险的,应当注意防范。所幸防计算机病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
1.3.7 按照计算机病毒的寄生方式分类
1. 覆盖式寄生病毒
覆盖式寄生病毒把病毒自身的程序代码部分或全部覆盖在宿主程序上,破坏宿主程序的部分或全部功能。
2. 链接式寄生病毒
链接式寄生病毒将自身的程序代码通过链接的方式依附于其宿主程序的首部、中间或尾部,而不破坏宿主程序。
3. 填充式寄生病毒
填充式寄生病毒将自身的程序代码侵占其宿主程序的空闲存储空间而不破坏宿主程序的存储空间。
4. 转储式寄生病毒
转储式寄生病毒是改变其宿主程序代码的存储位置,使病毒自身的程序代码侵占宿主程序的存储空间。
1.3.8 按照计算机病毒激活的时间分类
按照计算机病毒激活的时间来分类,计算机病毒可分为定时的和随机的两类。定时计算机病毒仅在某一特定时间才发作,而随机计算机病毒一般不是由时钟来激活的。
1.3.9 按照计算机病毒的传播媒介分类
按照计算机病毒的传播媒介来分类,计算机病毒可分为单机计算机病毒和网络计算机病毒。
1. 单机计算机病毒
单机计算机病毒的载体是磁盘,常见的是计算机病毒从软盘或U盘等移动载体传入硬盘,感染系统,然后再传染其他软盘或U盘等移动载体,软盘或U盘等移动载体又传染其他系统。
2. 网络计算机病毒
网络计算机病毒的传播媒介不再是移动式载体,而是网络通道,这种计算机病毒的传染能力更强,破坏力更大。
1.3.10 按照计算机病毒特有的算法分类
根据计算机病毒特有的算法,计算机病毒可以划分为如下几种。
1. 伴随型计算机病毒
这一类计算机病毒并不改变文件本身,它们根据算法产生.exe文件的伴随体,具有同样的名字和不同的扩展名(.com),例如,Xcopy.exe的伴随体是Xcopy.com,计算机病毒把自身写入.com文件,并不改变.exe文件,当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。
2. “蠕虫”型计算机病毒
这类计算机病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台计算机的内存传播到其他计算机的内存,寻找计算网络地址,将自身的计算机病毒通过网络发送。有时它们在系统中存在,一般除了内存不占用其他资源。
3. 寄生型计算机病毒
除了伴随型病毒和“蠕虫”型病毒,其他计算机病毒均可称为寄生型计算机病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法可分为如下几种。
(1)练习型计算机病毒:计算机病毒自身包含错误,不能进行很好的传播,例如一些在调试阶段的计算机病毒。
(2)诡秘型计算机病毒:通过设备技术和文件缓冲区等DOS内部修改,使其资源不易被看到,使用比较高级的技术,利用DOS空闲的数据区进行工作。
(3)变型计算机病毒(又称幽灵计算机病毒):这一类计算机病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的计算机病毒体组成。
1.3.11 按照计算机病毒的传染途径分类
计算机病毒按其传染途径大致可分为两类:一是感染磁盘上的引导扇区的内容的计算机病毒;二是感染文件型计算机的病毒。它们再按传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。混合型计算机病毒集感染引导型和文件型计算机病毒特性于一体。引导型计算机病毒会去改写磁盘上的引导扇区Boot Sector的内容,软盘或硬盘都有可能感染计算机病毒;或是改写硬盘上的分区表FAT。如果用已感染计算机病毒的软盘来启动的话,则会感染硬盘。
感染引导型计算机病毒是一种在ROM BIOS之后,系统引导时出现的计算机病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型计算机病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而计算机病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待计算机病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带计算机病毒的系统看似正常运转,而计算机病毒已隐藏在系统中伺机传染、发作。引导型计算机病毒按其寄生对象的不同又可分为两类,即MBR主引导区计算机病毒和BR引导区计算机病毒。MBR计算机病毒将计算机病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中,典型的有“大麻”、“2708”等。BR计算机病毒是将计算机病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区),典型的有“Brain”、“小球”等。
感染文件型计算机病毒主要以感染文件扩展名为.com、.exe和.ovl等可执行程序为主。它的安装必须借助于计算机病毒的载体程序,即要运行计算机病毒的载体程序,才能把文件型计算机病毒引入内存。大多数的文件型计算机病毒都会把它们自己的程序码复制到其宿主的开头或结尾处,这会造成已感染计算机病毒文件的长度变长。也有部分计算机病毒是直接改写“受害文件”的程序码,因此感染计算机病毒后文件的长度仍然维持不变。感染计算机病毒的文件被执行后,计算机病毒通常会趁机再对下一个文件进行感染。
大多数文件型计算机病毒都是常驻在内存中的。文件型计算机病毒分为源码型计算机病毒、嵌入型计算机病毒和外壳型计算机病毒。源码型计算机病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。嵌入型计算机病毒是嵌入在程序的中间,它只能针对某个具体程序。外壳型计算机病毒寄生在宿主程序的前面或后面,并修改程序的第一个执行指令,使计算机病毒先于宿主程序执行,这样随着宿主程序的使用而传染扩散。文件外壳型计算机病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
混合型计算机病毒综合了系统型和文件型计算机病毒的特性,它的“性情”也就比系统型和文件型计算机病毒更为“凶残”。此种计算机病毒通过两种方式来感染,更增加了计算机病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种计算机病毒也是最难清除的。
1.3.12 按照计算机病毒的破坏行为分类
计算机病毒的破坏行为体现了计算机病毒的杀伤能力。计算机病毒破坏行为的激烈程度取决于计算机病毒编写者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的计算机病毒,其破坏行为千奇百怪,不可能一一列举。根据现有的计算机病毒资料可以把计算机病毒的破坏目标和攻击部位归纳如下。
1. 攻击系统数据区
计算机病毒的攻击部位包括硬盘主引寻扇区、Boot扇区、FAT表和文件目录。攻击系统数据区的计算机病毒是恶性计算机病毒,受损的数据不易恢复。
2. 攻击文件
计算机病毒对文件的攻击方式很多,如删除文件、改文件名、替换文件内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇和丢失数据文件等。
3. 攻击内存
内存是计算机的重要资源,计算机病毒额外地占用和消耗系统的内存资源,导致大程序运行受阻。攻击内存的方式如占用大量内存、改变内存总量、禁止分配内存和蚕食内存等。
4. 干扰系统运行
计算机病毒会把干扰系统的正常运行作为自己的破坏行为,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换当前盘、时钟倒转、重启动、死机、强制游戏和扰乱串并行口等。
5. 速度下降
计算机病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空运行,计算机速度明显下降等。
6. 攻击磁盘
计算机病毒攻击磁盘包括攻击磁盘数据、不写盘、写操作变读操作和写盘时丢字节等。
7. 扰乱屏幕显示
计算机病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写和吃字符等。
8. 键盘
计算机病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱等。
9. 喇叭
有的计算机病毒作者让计算机病毒演奏旋律优美的世界名曲,在高雅的曲调中去“杀戮”人们的信息财富。有的计算机病毒作者则通过喇叭发出种种声音,已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声和嘀嗒声等。
10. 攻击CMOS
在计算机的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的计算机病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
11. 干扰打印机
这种类型一般有以下几种方式:假报警、间断性打印和更换字符等。
12. 攻击网络
这类病毒有很多种表现方式,可以造成网络资源耗尽不能为用户服务,网络上信息泄漏等。
1.3.13 按照计算机病毒的“作案”方式分类
计算机病毒的“作案”方式五花八门,按照危害程度的不同可对计算机病毒进行如下分类。
1. 暗藏型计算机病毒
暗藏型计算机病毒进入计算机系统后能够潜伏下来,到预定时间或特定事件发生时再出来为非作歹。
2. 杀手型计算机病毒
杀手型计算机病毒也叫“暗杀型计算机病毒”,这种计算机病毒进入计算机后,专门用来篡改和毁伤某一个或某一组特定的文件、数据,“作案”后不留任何痕迹。
3. 霸道型计算机病毒
霸道型计算机病毒能够中断整个计算机的工作,迫使信息系统瘫痪。
4. 超载型计算机病毒
超载型计算机病毒进入计算机后能大量复制和繁殖,抢占内存和硬盘空间,使机器因“超载”而无法工作。
5. 间谍型计算机病毒
间谍型计算机病毒能从计算机中寻找特定信息和数据,并将其发送到指定的地点,借此窃取情报。
6. 强制隔离型计算机病毒
强制隔离型计算机病毒用来破坏计算机网络系统的整体功能,使各个子系统与控制中心,以及各子系统间相互隔离,进而造成整个系统肢解瘫痪。
7. 欺骗型计算机病毒
欺骗型计算机病毒能打入系统内部,对系统程序进行删改或给敌方系统注入假情报,造成其决策失误。
8. 干扰型计算机病毒
干扰型计算机病毒通过对计算机系统或工作环境进行干扰和破坏,达到消耗系统资源、降低处理速度、干扰系统运行、破坏计算机的各种文件和数据的目的,从而使其不能正常工作。
1.3.14 Linux平台下的病毒分类
1996年出现的Staog是Linux系统下的第一个病毒,它出自澳大利亚一个叫VLAD的组织。Staog病毒是用汇编语言编写,专门感染二进制文件,并通过三种方式去尝试得到root权限,它向世人揭示了Linux可能被病毒感染的潜在危险。2001年3月,美国SANS学院的全球事故分析中心发现,针对使用Linux系统的计算机的蠕虫病毒被命名为“狮子”病毒,“狮子”病毒能通过电子邮件把一些密码和配置文件发送到一个位于china.com的域名上。一旦计算机被彻底感染,“狮子”病毒就会强迫电脑开始在互联网上搜寻别的受害者。越多的Linux系统连接到网络上,就会有越多受攻击的可能。Linux平台下的病毒可以分成以下几类。
1. 可执行文件型病毒
可执行文件型病毒是指能够寄生在文件中的,以文件为主要感染对象的病毒。例如病毒Lindose,当其发现一个ELF(Executable and Linkable Format,可执行连接格式)文件时,它将检查被感染的机器类型是否为Intel 80386,如果是则查找该文件中是否有一部分长度大于2784字节(或十六进制AE0),满足这些条件,病毒将用自身代码覆盖该文件并添加宿主文件的相应部分的代码,同时将宿主文件的入口点指向病毒代码部分。Alexander Bartolich发表了名为《如何编写一个Linux的病毒》的文章,详细描述了如何制作一个感染在Linux/i386的ELF可执行文件的寄生文件病毒。
2. 蠕虫病毒
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。在Linux平台下,利用系统漏洞进行传播的ramen,lion,Slapper……它们每一个都感染了大量的Linux系统,造成了巨大的损失。在未来,这种蠕虫病毒仍然会愈演愈烈,Linux系统应用越广泛,蠕虫的传播程度和破坏能力越会增加。
3. 脚本病毒
出现比较多的是使用shell脚本语言编写的病毒。Linux系统中有许多的以.sh结尾的脚本文件,一个短短十数行的shell脚本就可以在短时间内遍历整个硬盘中的所有脚本文件,进行感染。病毒制造者不需要具有很高深的知识,就可以轻易编写出这样的病毒,对系统进行破坏,其破坏方式可以是删除文件,破坏系统正常运行,甚至下载一个木马到系统中等。
4. 后门程序
在广义的病毒定义概念中,后门也已经纳入了病毒的范畴。从增加系统超级用户账号的简单后门,到利用系统服务加载,共享库文件注册,rootkit工具包,甚至可装载内核模块(LKM),Linux平台下的后门技术发展非常成熟,隐蔽性强,难以清除,这成为了Linux系统管理员极为头疼的问题。
病毒、蠕虫和木马基本上意味着自动化的黑客行为,直接的黑客攻击目标一般是服务器,如果网络运行了Linux系统,特别危险的是服务器,选择一个适合系统的防毒产品,它们能防止病毒的传播。至于Linux平台病毒在未来的发展,也会和Windows平台下的病毒发展史一样,都有可能在Linux上重演。