Коли вірус-супутник заражає файл, що має розширення EXE або CMD, він створює в цьому ж каталозі ще один файл із таким же ім'ям і розширенням COM. Вірус записує себе в цей COM-файл.

1.3.2 Завантажувальні віруси

Процес завантаження операційної системи з диска або дискети здійснюється в кілька кроків. На першому кроці програма завантаження зчитує вміст спеціальних секторів диску, називаних завантажувальними записами.

Завантажувальні записи звичайно розташовані на самому початку диска (або дискети), і містять програмний код, необхідний для виконання наступних кроків завантаження ОС.

Головний завантажувальний запис, що перебуває на жорсткому диску, називається Master Boot RecordАналогічний запис на дискеті зветься Boot Record

Цим скористалися творці комп'ютерних вірусів, що створили так званий завантажувальний вірус:

Завантажувальний вірус — такий вірус, що записує свій код у головний завантажувальний запис Master Boot Record диска або завантажувальний запис Boot Record диска й дискет.

Завантажувальний вірус одержує керування до програми завантаження ОС, у результаті чого процедура керування виконується під контролем вірусу.

При зараженні дискети або жорсткого диска комп'ютера завантажувальний вірус заміняє завантажувальний запис або головний завантажувальний запис. Дійсний завантажувальний запис або головна завантажувальна при цьому запис звичайно не пропадає (хоча так буває не завжди). Вірус копіює їх в один з вільних секторів (див. мал. ).

Мал. 1-4. Завантажувальний вірус зберігає вихідний уміст завантажувального сектора

На мал. 1-5 ми показали вихідний уміст завантажувального сектора.

Мал. 1-5. Вихідний зміст завантажувального сектора

На мал. 1-6 представлений той же сектор, що й на мал. 1-5, але заражений вірусом Form.

Мал. 1-6. Фрагмент вірусу Form у завантажувальному секторі

1.3.3 Файлово-завантажувальні віруси

Завантажувальні віруси можуть поширюватися тільки через завантажувальні записи дискет, а файлові віруси — через файли. Це до деякої міри обмежує їхнє поширення.

Однак існують комбіновані файлово-завантажувальні віруси, які сполучать у собі властивості й файлових, і завантажувальних вірусів:

Файлово-завантажувальний вірус — комбінація файлового й завантажувального вірусу.

Файлово-завантажувальний вірус прикріплюється до завантажувального запису диска або дискет, а також до програмних файлів. Вірус цього типу активізується після завантаження комп'ютера із зараженого диска (дискети) або при запуску зараженого файлу.

Файлово-завантажувальні віруси можуть поширюватися як файлові, прикріплюючись потім до завантажувальних записів дисків і дискет. Вони також здатні поширюватися через завантажувальні записи дискет, заражаючи потім файли.

Цей факт двоїстого поводження й відбитий у назві даного типу вірусів.

1.3.4 Стелс-віруси

Відразу після появи перших комп'ютерних вірусів стали створюватися й перші антивірусні програми. Такі програми сканували вміст оперативної пам'яті й дисків комп'ютера, виявляючи й нейтралізуючи шкідливий код.

Як відповідна міра розроблювачі вірусів навчилися створювати такі віруси, які вміють «ховатися» від антивірусних програм. Із цією метою віруси перехоплюють виклики деяких функцій ОС NT.

Завдяки такому перехопленню антивірус, читаючи заражений файл або завантажувальний запис, фактично одержує незаражені дані. Тим самим антивірус уводиться в оману.

Стелс-вірус  — це вірус, що залишає в пам'яті комп'ютера модулі, що перехоплюють звертання програм до дисків.

Слід зазначити, що були розроблені й відповідні міри. Використовуючи спеціальні методики й програмне забезпечення, можна організувати захист і від стелс-вірусів.

1.3.5 Віруси, що шифруються

Перші антивірусні програми шукали віруси, порівнюючи вміст файлів і секторів диска з характерними фрагментами вірусів (із сигнатурами вірусів). Саме ці фрагменти зберігалися у вірусних базах даних антивірусних програм.

Щоб виключити виявлення, розробники комп'ютерних вірусів стали застосовувати шифрування вірусного коду. Так з'явилися віруси, що шифруються.

Вірус, що шифрується - це вірус, що при зараженні нових файлів і системних ділянок диска шифрує власний код, користуючись для цього випадковими паролями (ключами).

Коли вірус одержує керування, він розшифровує свій власний код і передає йому керування.

Сучасні антивіруси вміють розшифровувати код вірусу, що тому шифруються віруси можуть бути ефективно виявлені й знищені.

1.3.6 Поліморфні віруси

Подальше вдосконалювання вірусів, що шифруються, було спрямовано на утруднення їхнього виявлення. Із цією метою були розроблені так звані поліморфні віруси.

Поліморфний вірус — це такий вірус, що шифрується, що при зараженні нових файлів і системних областей диска шифрує власний код.

При цьому для шифрування вірус користується випадковими паролями (ключами), а також різними методами шифрування, що виключає можливість упізнання вірусу по сигнатурах вірусів.

Поліморфні віруси набагато сложніше виявити, чим звичайні, тому що екземпляри таких вірусів відрізняються друг від друга. Однак для їхнього пошуку й нейтралізації були розроблені нові методики.

Сучасні антивірусні програми справляються з поліморфними вірусами, незважаючи на всі хитрування, початі їхніми розроблювачами.

1.3.7 Макрокомандні віруси

У середині 90-х років уперше з'явилися комп'ютерні віруси, що атакують не програмні файли, а файли документів пакета програм Microsoft Office.

На відміну від раніше відомих вірусів, віруси, що заражають файли документів, складаються не з команд центрального процесора комп'ютера, а з макрокоманд мови Visual Basic for Applications(VBA).

Макрокомандний вірус прикріплюється до файлів офісних документів і поширюється разом з ними.

Макрокомандні віруси написані з використанням інтерпретовної мови програмування, вбудованої в офісні додатки для автоматизації обробки офісних документів.

Перший головний секрет першого вірусу WinWord.Concept і практично всіх інших відомих нам сьогодні вірусів для текстового процесора Microsoft Word, полягає в тім, що він використовує можливість збереження файлу документа у форматі файлу стилів.

Файл, заражений макрокомандним вірусом, можна відкрити як звичайний файл документа. Його можна редагувати й зберегти зміни на диску. Єдине, що не можна з ним зробити, так це зберегти файл в іншому форматі,