Они не умеют, потому что их нет.
Очень трудно обсуждать возможности того, чего не существует. Если вирусы под Linux появятся (во что я не очень верю), то можно будет обсудить их свойства.
А пока что, вирусы под линукс существуют в основном в воображении одного знаменитого борца с ними. Вирусов нет по разным причинам, из-за конструкции OС в том числе.
В случае десктопа вероятность заразиться приближается к твёрдому нулю.
И если Вы не хозяин банка, не марсианский шпион и не командующий ракетными войсками, то опасностью можно пренебречь.
Ну.. может быть, фантазия отчасти присутствует в моём вопросе, но какие-то реальные предпосылки вообще-то есть. То, что вирусов [в классическом понимании] для unix-систем нет, мне понятно. Я же имел в виду скорее уязвимости, через которые зловредный код может обрушить систему без необходимости явного запуска с правами root. И их время от времени находят. Например, уязвимости в библиотеках обработки изображений. Достаточно лишь открыть рисунок, в тело которого дописан код, эксплуатирующий уязвимость, и этот код получает возможность выполнять произвольные действия в системе. Причём информацию о таких уязвимостях я периодически обнаруживаю не где-нибудь на сайтах борцов с вирусами, а на официальных багтрекерах и security-lists популярных дистрибутивов. Конечно, эти уязвимости быстро прикрывают, но, тем не менее, они встречаются. Это говорит о том, что не следует абсолютно исключать возможность атаки на систему только на основании того, что с правами root не запускается что попало.
Но я не об этом. В своём вопросе я написал "допустим", то есть предположил, что запущенная система УЖЕ скомпрометирована. Ладно, отбросим Chromium, пусть пользователь сам запустил код некоторой зловредной программы. Хочется понять, существуют ли на сегодняшний день зловредные программы, которые могут скомпрометировать операционные системы, лежащие на непримонтированных устройствах. То есть не просто затереть что-то, как написал
rusooo, а именно дописать зловредный код "куда надо", например, проанализировав непримонтированный /dev/sda? Или же для компрометации такого рода так или иначе ФС должна быть примонтирована (ну, например, чтобы явно были видны файлы в директории /boot на внешнем устройстве)?