Wine Viruses 是否只在 Wine 运行时起作用？

Question

我听说 Linux 可以通过 Wine 感染病毒，我很好奇病毒是否只在 Wine 运行时起作用。

换句话说，我可以通过退出 Wine 来阻止病毒做它的事情吗？

Answer 1

Wine Viruses 是否只在 Wine 运行时起作用？

是的，如果它是一个trojan, rootkit,worm专门设计用来感染 Windows 机器的程序。

（通过酒传播病毒已经发生了。）

我可以通过退出 Wine 来阻止病毒做这件事吗？

是的，也不是。

是的

如果是 Windows 病毒，杀掉 Windows Environment(wine)，它就没有立足之地了。病毒仍然安装，但它没有做任何伤害。如果你删除 wine - 据我所知 - 它只会删除它的二进制文件。稍后重新安装 wine，将显示应用程序仍然安装。

~/.wine但是，完全删除文件夹会带来一些安全感。请注意，如果它没有将它自己复制到其他地方，那么该~/.wine文件夹。在这种情况下，您在某处有一个 Windows 二进制文件，这可能会对您的系统造成损害。

不

如果该病毒针对带有 Wine 环境的 Linux。尽管您专门感染这种罕见病毒的机会非常渺茫，但我仍然建议您阅读 Wine 社区撰写的有关如何保护葡萄酒的文章（链接到空白页面）。

这种病毒有多罕见，仍然建议尽可能保护 Wine。尤其是如果您在业务方面。

我最喜欢的 Wine 图形前端是PlayOnLinux，您可以更好地控制 Wine 环境，并且每个应用程序都有一个单独的环境。因此，如果您碰巧因使用 被感染Safari，请使用配置选项来检查和/或恢复，或者只是删除整个Safari卷。

^{摘自此处的图片：PlayOnLinux 解释：Wine 配置 | 游戏玩家}

注意：

这是一个很小的机会，但是，即使在保护了 wine 之后，您仍然可能会被病毒感染，甚至通过 wine专门为hack/ infectLinux设计的病毒。出于安全原因，我安装了Malwarebytes和SuperAntiSpyware。另请注意，explorer.exe由 wine 团队创建的自定义或其他 wine 软件可能被上述安全软件视为恶意软件。

恕我直言：PlayOnLinux 是一种更安全的选择，因为您可以使用配置工具更好地控制 wine。仅安装时wine，会在您的 Linux 系统中安装 Windows 环境，而无需任何监控方式。

PlayOnLinux 不需要预先安装 wine。它用酒创建了一个酒前缀（一个单独的工作环境）。然后它将软件安装在单独的 Wine Prefix 中。这意味着，该软件无法访问其他环境。因此，感染安装在不同 Wine Prefix 中的 Windows 软件的其他部分变得更加困难。

进一步阅读：

• [安全功能]：以独立用户身份运行Playonlinux/Wine。- 论坛 - PlayOnLinux

• 关于 Wine 上运行的恶意软件的另一份报告

• SecuringWine - The Official Wine Wiki

Answer 2

也许。对此没有简单的答案。

我首先要说的是，您的介绍听起来好像您认为 Linux 不会感染病毒（和/或恶意软件）。这可能只是我的推断，但重要的是要注意恶意软件只是软件，只要兼容，您就可以像在 Windows 上一样轻松地在 Ubuntu 上运行不良软件。Linux 并非无懈可击。

至于在 Wine 下运行的恶意软件，如果它实际上是一个活动的应用程序（如特洛伊木马 RAT），停止 Wine（wineserver -k当然）会阻止它运行。

但是...... 如果环境是 Wine ，检测环境是很容易的。默认情况下，Wine 和 Ubuntu 之间几乎没有沙箱，因此恶意软件可以检测到 Wine 环境，然后几乎可以对 Ubuntu 系统执行任何您可以执行的操作。这包括运行本机命令、与 Ubuntu 系统接口、标准本地特权漏洞利用、下载本机恶意软件和脚本到基于用户的自动启动机制（~/.config/autostart/等）以在重新启动后重新加载自己。

这有可能吗？我不知道。大多数 Windows 恶意软件可能不会打扰探索 Wine 环境，但这只是我的预感。我不知道是否存在任何此类恶意软件，但无论哪种方式，随着 Linux、OSX 和 Wine 的普及，我怀疑许多恶意软件植入者探测其环境还需要很长时间。我们只是在谈论几行代码以获得更好的感染。

Answer 3

我认为上述答案很好地回答了这个问题，但我还想补充一点，在 wine 中运行病毒不会阻止任何访问/修改/删除系统上文件的病毒。

例如，可怕的CryptoLocker勒索软件会加密您的所有文档，然后要求付款以解密它们。该病毒仍然可以轻松访问 Z:\ 驱动器并加密您的所有文件。（实际上，它甚至不需要这样做；在 wine 的虚拟 C:\ 驱动器中，桌面、文档、下载、我的图片、我的音乐和我的视频文件夹被符号链接到您的主目录中的文件夹。） Windows中，CryptoLocker甚至被称为如果您已经安装谷歌云端硬盘桌面加密谷歌云端硬盘文件。

（幸运的是，如果您感染了 CryptoLocker，并且它是原始的 CryptoLocker 病毒，而不是众多克隆病毒之一，您现在可以免费解密您的文件。）