Если файловый вирус резидентный, он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла.

Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения - не всегда изменяет длину файла, может не менять начало файла.

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Разберем в качестве примера схему функционирования вирусов известного семейства DIR-II, которые в 1991 г. стали причиной настоящей компьютерной эпидемии в России. Рассмотрим модель, на которой ясно видна основная идея вируса.

1) Информация о файлах хранится в каталогах.

2) Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и резервные байты. Последние оставлены «про запас» и самой операционной системой не используются.

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства DIR-II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу. Действие вируса приводит к размножению на жестком диске секторов, помеченных как сбойные.