Proces infikácie súborov:

1. Kód nainfikovaného programu sa zmení tak, aby vírus získal riadenie ako prvý, pred hostiteľským programom, a to buď napr. pomocou zápisu skokovej inštrukcie na miesto prvej inštrukcie hostiteľského programu (u súborov typu COM v systéme MS DOS) alebo napr. zmenou informácií v hlavičke súboru (u súborov typu EXE). Teoreticky je možné, že vírus vyhľadáva určité miesto v programe, do ktorého vloží inštrukciu skoku. Nejde však o typickú infekciu, pretože je možné, že inštrukcia je vložená nesprávne, a preto vírus riadenie vôbec nedostane.

2.Po prebratí riadenia vyhľadáva vírus nový program a zapisuje svoju kópiu do tohto nenainfikovaného programu, a to väčšinou na koniec súboru, zriedka na jeho začiatok. Pokiaľ vírus zapisuje na koniec programu, koriguje vstupný kód nového hostiteľa tak, aby sám získal riadenie ako prvý, a pôvodný vstupný kód umiestňuje v svojom tele. Existujú však aj iné prípady, kedy sa vírus zapisuje do inej časti, napr. do oblasti zásobníka.

3. Takto prebiehajúca infekcia je charakteristická pre každý vírus napádajúci súbory. Vírusy však môžu okrem množiacich sa častí obsahovať časť deštruktívnu, označovanú ako trójsky kôň alebo vyššie spomínaná časovaná bomba. U osobných počítačov, napr. v operačnom systéme MS DOS, nachádzame aj druhú kategóriu vírusov, a to tzv. bootové vírusy, t.j. vírusy, ktoré napádajú zavádzacie oblasti na vonkajších magnetických médiách: disketách a pevných diskoch. Koncepcia takéhoto vírusu vychádza zo skutočnosti, že základný vstupno - výstupný systém (BIOS) vykonáva z týchto oblastí zavádzanie operačného systému do pamäti počítača. Ak obsahuje zavádzací sektor diskety alebo disku (bootsektor) resp. rozdeľovacia tabuľka pevného disku (partition table) vykonávateľný kód, je tento kód zavedený do pamäti. Ak obsahuje táto tabuľka kód vírusu, je do pamäti zavedený vírus, ktorý zostáva v pamäti rezidentne a tento vírus potom sám zavádza operačný systém. Infekcia sa potom väčšinou šíri nie pomocou súborov, ale nainfikovanými sektormi pružných diskov.

Väčšina vírusov infikuje bootsektor, ale niektoré infikujú rozdeľovaciu tabuľku a sú extrémne nebezpečné. Pôvodnú tabuľku zachovávajú nepresne, a tak je potom možné, že sa ľahko prepíše. V takomto prípade sa dá počítať prinajmenšom so stratou údajov; často však musíme vykonať tzv. low-level alebo nízkoúrovňový formát pevného disku.

Ako sa správa vírus

Počítačové vírusy zvyčajne škodia v dvoch fázach svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje alebo sa množí, a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu (napr. C648, Dark Avenger). Akcia nemusí byť vždy deštruktívna - napr. jeden z najrozšírenejších vírusov CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17. hodine melódiu. Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú. Na PC môže dôjsť k deštrukcii FAT, zmazaniu súborov, označovaniu dobrých sektorov za chybné, modifikácii používateľských údajov , prepísaní bootsektoru a Master Boot Record, formátovaniu disku, či dokonca k zničeniu hardvéru.

Napríklad ide o vysielanie signálu LF (posun o riadok) na tlačiareň. To je príčina krčenia a trhania papiera a možného odlomenia ihličky, rozkmitanie hlavičiek pevného disku, a dokonca ničenie grafickej karty vysielaním chybných signálov. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy (napr. Dark Avanger, C648) sú nebezpečné hneď od začiatku a infikujú takmer všetko, čo im príde do cesty. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie istej podmienky.

Najčastejšie koncepcie návrhu a prejavy chovania:

stealth: Názov pochádza z mena známeho amerického bombardéra, ktorý sa stáva pre radary "neviditeľný". Vírus skrýva akúkoľvek zmenu komponentov systému, napr. dĺžku súborov, dátum a čas vytvorenia, zmena boot sectora. Vírus je schopný dezinfikovať programy on-the-fly ("za letu") najčastejšie monitorovaním prerušenia int 21h. V praxi po požiadavke na otvorenie súboru vírus prevezme kontrolu ako prvý, odvíri súbor, predá ho programu, ktorý oň žiadal a po požiadavke na uzavretie ho najprv infikuje a až potom skutočne uloží.

polymorfné (meniace sa): Základnou myšlienkou je, že žiadne z 2 kópií vírového tela nie sú totožné. Vírus sa teda skladá z dekódovacej rutiny a zakódovaného tela. Ak je dekódovacia rutina statická (nemenná), ide o tzv. semi-polymorfné vírusy. Ak je dekódovacia rutina generovaná, ide o tzv. plne polymorfné vírusy.

tunelujúce: Tieto vírusy sa "pretunelujú" reťazcami ovládačov zariadení, pripoja sa na koniec reťazca a ovládajú priamo napr. radič pevného disku. Pri ich detekcii kontrola vektorov prerušení neuspeje. 

Ako sa šíri

V dávnej dobe, keď bol populárny systém MS DOS, sa vírusy šírili pomocou diskety (jediná možnosť -:) K šíreniu vírusov prispel vlastne aj srýčko Bill a jeho Microsoft. Oni impletovali do systému jazyk WordBasic. Tieto súbory majú príponu *.VBS. Vznikol pre nich názov - Červ. V minulosti sa poštou (e-mailom) smeli posielať len texty a tie boli neškodné. Ale zasa Microsoft tam impletoval HTML a skripty, a tak vznikol ďalší spôsob šírenia - tie červy sa šíria pomocou tohoto e-mailu. K šíreniu vírusov prispieva aj naivita užívateľov. Koncom januára 2002 spôsobil velký rozruch červ Win32:MyParty. Upozorňoval na fotografie z oslavy (párty). Ale veľa ľuďom nebolo podozrivé, že ich priatelia im posielajú pozdrav písaný v angličtine.

K správe bol priložený súbor www.myparty.com, čo síce vyzerá ako odkaz na stránku, ale v skutočnosti sa jednalo o program (prípona COM je pod Windows štandartnou príponou pre spustiteľné programy). No a našlo veľa ľudí, ktorý na tento odkaz, resp. súbor ťukli.

K šíreniu tiež prispieva mnoho bezpečnostných dier a chýb. A toto začali využívať aj písači vírusov. Ak používate MS Windows, využite záplaty k týmto chybám na stránke Microsoft.com

Problémové sú tiež najrozšírenejšie aplikácie z balíku MS Office (Excel - *.xls a Word - *.doc). Totiž v nich je integrovaný jednoduchý, ale výkonný programovací jazyk Visual Basic for Application. Ten slúži na tvorbu makier. Tiež sú vysoko rizikové spustiteľné súbory s príponou *.com a *.exe. Tiež vírus môže byť šírený súbormi s prípomani *.sys a *.src - to sú šetriče obrazovky pre Windows. Menej rizikové sú súbory, ktoré pre svoju činnosť potrebujú ešte nejakú aplikáciu. Príkladom je MS Word a Excel - takže keď nemáte nainštalovaný Office, tak súbor neotvoríte.