Імаверна, першыя камп’ютарныя вірусы для сямейства АС Unix былі напісаны Фрэдам Коўэнам у працэсе здзяйснення эксперыментаў. У канцы 1980-х з’явіліся першыя публікацыі з зыходнымі тэкстамі вірусаў на скрыптовай мове інтэрпрэтатара sh.[1][2]
Unix-падобныя сістэмы лічацца добра абароненымі ад камп’ютарных вірусаў[3]. Да гэтай пары не было ні аднаго шырока распаўсюджанага віруса для Linux, у адрозненне ад сістэм тыпу Microsoft Windows, што звязана ў тым ліку з сістэмай правоў доступу, адсутнасцю (у большасці дыстрыбутываў) перадустаноўленых сеткавых сервісаў, прымаючых уваходныя злучэнні і скорым выпраўленнем уразлівасцей Linux[4]. Нягледзячы на гэта, вірусы патэнцыйна могуць пранікаць у неабароненыя сістемы на Linux і ажыццяўляць шкодную дзейнасць, і магчыма распаўсюджвацца на іншыя сістэмы. У Linux-сістэмах існуе шматкарыстальніцкае асяроддзе, у якім карыстальнікам прадастаўляюцца некаторыя правы, a таксама выкарыстоўваецца некаторая сістема размежавання доступу. Для таго каб нанесці істотную шкоду сістэме, шкодная праграма спрабуе атрымаць root-доступ да яе. Аднак, пакуль карыстальнік не пачне працу з root-прывілеямі ці з адміністратарскім уліковым запісам, сістэма размежавання правоў не дасць вірусу такой магчымасці. Без атрымання правоў суперкарыстальніка шкодная дзейнасць вірусаў зводзіцца да сачэння за дзеяннямі карыстальніка (перахопу ўводу з клавіятуры пароляў, звестак аб крэдытных картках і інш.), крадзяжу карыстальніцкіх файлаў, рассылцы спама і ўдзелу ў DDoS-атаках. Для атрымання прывілей супер-адміністратара, як правіла, патрабуецца альбо ўжыванне эксплойтаў, якія дзейнічаюць праз незакрытые ўразлівасці ў ядры Linux ці ў сэрвісах, якія маюць root-прывілей для ўласнай дзейнасці, альбо метады сацыяльнай інжынерыі (напрыклад, спроба выдаць вірус за легальную праграму, якая патрабуе адміністрацыйных паўнамоцтваў). Эксплуатацыя ўразлівасцей ускладняецца хуткім закрыццём вядомых уразлівасцей, у выніку чаго распаўсюджванне віруса спыняецца неўзабаве пасля выхаду абнаўленняў бяспекі, а метад сацыяльнай інжынерыі мало эфектыўны з-за звычайна высокага тэхнічнага ўзроўню карыстальнікаў, якія маюць адміністрацыйныя паўнамоцтвы. Гэта, у сукупнасці з разнастайнымі спосабамі запуску праграм пры запуску аперацыйнай сістэмы у розных варыянтах (дыстрыбутывах) Linux, прыводзіць да таго, што знайсці з вядомых вірусаў такі, каб ён мог быць паспяхова запушчаны і мог ажыццявіць сваю шкодніцкую дзейнасць на сучасных дыстрыбутывах — задача нетрывіяльная. Знайсці сярод іх вірус, здольны да самастойнага распаўсюджвання — амаль немагчыма.
Першы вірус для Linux (Bliss) з’явіўся ў канцы верасня 1996 года: заражаны файл быў змешчаны ў навінавую групу alt.comp.virus і яшчэ некаторыя. У лютым наступнага года выйшла выпраўленая версія. У кастрычніку 1996 года ў электронным часопісе, прысвечаным вірусам VLAD, быў апублікаваны зыходны тэкст віруса Staog.[5] Раней, у 1995 годзе, была апублікавана кніга Марка Людвіга «The Giant Black Book of Computer Viruses», у якой прыведзены зыходныя тэксты вірусаў Snoopy для FreeBSD.[6] Snoopy і Bliss напісаны на мове C і могуць быць перанесены амаль у любую UNIX-падобную аперацыйную сістэму з мінімальнымі зменамі.
Колькасць шкодніцкіх праграм пад Linux павялічылась у апошнія гады. У прыватнасці, за 2005 год адбылося падваенне колькасці linux вірусаў з 422 да 863[7]. Былі рэдкія выпадкі выяўлення ўставак шкодніцкіх праграм (траянскіх праграм) у афіцыйных сеціўных рэпазітарах ці папулярных сайтах дадаткаў [8]. Як правіла, колькасці інсталяцый такіх траянаў вымяралася сотнямі ці тысячамі, пасля чаго траян выдаляецца, а пацярпелым карыстальнікам патрабуецца выканаць інструкцыі для выдалення траяна на сваіх камп’ютарах, пасле чаго траян сыходзіць у гісторыю.
Вірусныя сканеры даступныя для Linux-сістэм. Асноўнае іх прызначэнне — выяўленне вірусаў і іншага шкодніцкага ПЗ для аперацыйных сістэм Windows. Яны здольныя правяраць мінаючую праз іх электронную пошту, напрыклад, каб абараніць камп’ютарны з сістэмамі Microsoft Windows, якія атрымліваюць пошту праз карпаратыўны паштовы сервер. Выпадкі выяўлення антывірусами шкоднікаў для Linux «ужывую» («in the wild») альбо не адбываліся, альбо аб іх невядома.
Пералічым некаторыя спосабы заражэння. Бінарныя файлы і зыходныя коды, атрыманыя ад пабочных рэпазітараў ці карыстальнікаў, могуць змяшчаць вірус. Скрыпты абалонкі (shell scripts) пасля запуску могуць выконваць праграма і мець доступ да файлаў. Замест спецыфічнай версіі бібліятэкі можа быць падстаўлена падробная бібліятэка. З дапамогай Wine могуць працаваць вірусы, прызначаныя для Microsoft Windows (з прычыны ўжывання многімі вірусамі недакументаваных сістэмных выклікаў Windows, якія вельмі кепска рэалізаваны ў Wine, рызыка заражэння менш). Як правіла, праз Wine вірусы здольныя жыць толькі да перазапуску аперацыйнай сістэмы, бо стандартныя метады аўтазапуску праграм у Windows не працуюць у Wine. Выключэнне — файлавыя вірусы, то бок тыя, што заражаюць выканальныя файлы легітымных праграм. Вірус зноў запусціцца, калі карыстальнік запусціць заражаную праграму. Варта заўважыць, што клас файлавых вірусаў амаль скончыў існаванне, саступіўшы месца траянам і бэкдорам, якія існуюць у адным (радзей у двух) экзэмпляры (файле) на дыску, і запускаюцца праз стандартныя (ці не вельмі) механізмы аўтазапуску ў Windows.
Вось спіс найвядомейшых вірусаў для Linux:
Асноўны артыкул: Чарвяк Морыса У 1988 годзу Робертам Морысам-малодшым быў створаны першы масавы сеціўны чарвяк. 60 000-байтная праграма распрацоўвалася з разлікам на паразу аперацыйных сістэм UNIX Berkeley 4.3. Вірус першапачатков распрацоўваўся як бясшкодны і меў мэту толькі ўпотай пранікнуць у вылічальныя сістэмы, звязаныя сецівам ARPANET, і застацца там нявыяўленым. Вірусная праграма ўключала кампаненты, здольныя раскрываць паролі ў інфікаванай сістэме, што ў сваю чаргу дазваляла праграме маскіравацца пад задачу легальных карыстальнікаў сістэмы, на самой справе займаючыся размнажэннем і рассыланнем копій. Вирус не застаўся схаваным і цалкам бяспечным, як задумваў аўтар, з-за нязначных памылак, дапушчаных пры распрацоўцы, якія прывялі і імклівага некіруемага самаразмнажэння віруса.
Паводле самых сціплых ацэнак інцыдэнт з чарвяком Морыса каштаваў звыш 8 мільёнаў гадзін страт доступу і звыш мільёна гадзін яўных затрат на ўзнаўленне працаздольнасці сістэм. Акульны кошт гэтых выдаткаў ацэньваецца ў 96 мільёнаў долараў (у гэтую суму таксама не зусім абгрунтавана ўключаны затраты для дапрацоўкі аперацыйнай сістэмы). Урон быў бы значна большы, калі б першапачаткова ствараўся з разбуральнымі мэтамі.
Чарвяк Морыса ўразіў звыш 6200 камп’ютараў. У выніку віруснай атакі большасць сетак выйша са строю на тэрмін да пяці сутак. Камп’ютары, які выконвалі камутацыйныя функцыі, якія працавалі ў якасці файл-сервераў ці выконвалі іншыя функцыі забеспячэння працы сеткі, таксама выйшлі са строю.