Podle napadaných oblastí
Boot viry
Boot sektorové viry infikují proveditelný kód nacházející se v určitých systémových oblastech na disku. Těmito oblastmi mohou být boot sektory disket, tabulka rozdělení pevného disku nebo boot sektor pevného disku.
Boot sektor existuje na každé disketě, která byla naformátována pomocí MS-DOS, a to bez ohledu na to, zda touto disketou je systémový nebo datový disk. Boot sektor obsahuje krátký program, který používá DOS ke spuštění systému, a to dříve než je kontrola předána jiným systémovým programům a překladači povelů.
Protože v boot oblastech jsou umístěny velmi důležité instrukce, které zavádějí při každém spuštění operační systém do paměti počítače, stačí, aby virus nebo pouze jeho spouštěcí mechanismus (příkaz skoku na vykonatelný kód) byl umístěn v této oblasti, a virus bude při každém spuštění systému zaveden do paměti.
Uvedené viry se chovají tak, že obvykle přepíší svým vlastním kódem boot sektor a původní přepsanou část boot sektoru uschovají na jiné místo disku. Virová infekce se potom šíří pomocí boot sektorů disket, které přišly do styku s nakaženým systémem, a do kterých rezidentní boot virus ihned vytvoří svojí repliku.
Operační systém DOS pro ně byl vzhledem k malé možnosti jeho kontroly velmi výhodným hostitelem, a to především díky vysoké frekvenci používání těch nejjednodušších povelů, jako jsou zápis a čtení z disku, kopírování disket, prohledávání obsahu adresáře atd. Šíření boot sektorových virů ve 32bitových systémech je mnohem obtížnější než v DOSu, protože boot sektorový virus je ve většině případů ihned při startu systému odhalen.
Souborové viry
Souborové viry bychom mohli dále třídit podle cíle infekce - v zásadě jsou to vždy proveditelné soubory, neboť cílem viru je, aby provedením hostitelského kódu došlo k aktivaci viru, a tím také k možnosti jeho rozmnožení. Nejčastěji se tedy jedná o soubory s příponami com, exe, ovl, bin, sys, bat, obj, prg, mnu atd.
Mechanismus činnosti souborových virů je však podobný ve všech případech. Nejčastěji tyto viry přepisují začátek souboru, kam umístí buď příkaz ke skoku na sebe sama (na tzv. tělo viru), nebo se samy umístí na toto místo. V druhém případě se může jednat o tzv. přepisující či destruktivní viry. Jejich nevýhodou je, že svým zásahem zničí či poškodí hostitelský program. V okamžiku, kdy se jej tedy pokusíte spustit, dojde sice k tomu, že se aktivuje virus, ale program sám už není schopen činnosti. To je nevýhodné nejen pro uživatele, ale i pro virus samotný, neboť tím je samozřejmě uživatel upozorněn na jeho existenci. Přepisující viry jsou proto mnohem méně časté než viry nepřepisující.
Přepisující viry
Bez kontroly zápisu na disk často není možné zachytit činnost některých souborových virů, které jsou velmi hloupé, a proto ve své činnosti přímočaré. Svým kódem přímo přepíší hostitelský program, a tím jej znehodnotí. Proto se nazývají viry přepisující.
Při volání hostitelského programu se tyto viry vůbec nemusí instalovat do paměti (i když existují i případy, kdy to dělají), a přímo svým kódem přepíší některý program na disku podle jakéhosi, pro každý virus specifického, klíče. Program sám se stává nefunkční a při jeho volání se pouze aktivuje škůdce, potom dojde k chybě v běhu volaného programu.
Prodlužující viry
Jestliže už se souborový virus dostal do systému a nebyl preventivně zachycen, může zde parazitovat. Viry mají několik způsobů replikace a jedním z nich je metoda zapsání těla viru na konec (nebo začátek) souboru, ať už jde o jakýkoliv proveditelný soubor - nejčastěji je to soubor typu com nebo exe. Tím dojde k prodloužení délky infikovaného souboru - odtud název této skupiny virů. Pokud je virus umístěn rezidentně v paměti a obsahuje tzv. stealth techniky, toto prodloužení není viditelné v době, kdy virus má systém pod svou kontrolou, protože všechny změny jsou virem ukrývány.
Při infekci je přepsáno několik prvních bytů napadeného souboru, podle kterých se při jeho volání předává řízení viru jako prvnímu, nebo u exe souboru je přepsáno několik bytů jeho hlavičky, kde je odkaz na počáteční bod programu. "Chytřejší" viry obsahují sebeidentifikační mechanismus, aby nedošlo k několikanásobnému napadení. Jsou však i výjimky, například dvacetinásobné infikování jednoho souboru virem Jerusalem není nic neobvyklého. Sebeidentifikační proces se stává problémem u polymorfních virů, zejména z důvodu snížení rychlosti detekce, protože celé dekódování je pomalé.
Odstranění těchto virů je celkem jednoduché - stačí opravit začátek programu a "vykousnout" virus z jeho konce nebo začátku podle konkrétního místa lokalizace těla viru.
Doprovodné viry
Doprovodné viry se přidají ke spustitelnému souboru vytvořením ještě jednoho nového souboru s jinou příponou. Jméno tohoto druhu viru pochází z toho, že virus doprovází napadený soubor průvodním souborem. Virus se může pojmenovat například soubor.com. Pokaždé, když uživatel spustí soubor.exe, operační systém zavede nejdřív soubor soubor.com, a tím systém infikuje. Doprovodný virus je často generován "fágem".
Fágy
Fágy modifikují jiné programy nebo databáze neautorizovaným způsobem. Odborníci se při pojmenování tohoto druhu inspirovali skutečnými fágy, které jsou obzvlášť destruktivní, protože nahrazují tělo infikované buňky svým vlastním genetickým kódem.
Počítačový fág skutečně nahradí spustitelný soubor svým vlastním kódem, místo aby se k němu připojil. Často také generuje doprovodný soubor. Fágy jsou extrémně destruktivní, protože při infekci zničí každý napadený soubor.
Mezerové viry
Ne vždy musí virus zapsat svoje tělo na konec nebo na začátek exe nebo com souboru. Existují výjimky, kterých naštěstí není mnoho, a ty ukládají tělo viru dovnitř do volných míst hostitelského souboru (především se to týká souboru command.com). To by podle naší definice již nebyly čistě prodlužující viry, protože v tom případě infekcí nedojde k prodloužení souboru.
Clusterové viry
Poměrně zajímavou skupinou virů jsou tzv. clusterové viry. Tyto viry se vyhýbají přímému zápisu do datové oblasti disku, kde cíl infekce sídlí, a místo toho modifikují pouze odkazy adresářové struktury tak, aby ukazovaly na jednu kopii těla viru umístěnou např. na konci disku.
Makroviry
Hlavní nebezpečnou stránkou makrovirů je to, že jsou nezávislé na platformě a operačním systému - podobně jako samotný internet - na rozdíl od souborových nebo boot-sektorových virů. Navíc se makroviry neomezují na spustitelné nebo objektové soubory, ale primárně jsou zaměřeny na soubory datové.
Podle umístění v paměti:
Rezidentní viry
Rezidentní virus, jak název sám prozrazuje, je virus, který setrvává ilegálně v paměti. Takový virus se většinou při prvém spuštění infikovaného souboru (pokud se jedná o souborový virus) nebo při prvém zavedení systému z infikovaného boot sektoru (pokud se jedná o boot sektorový virus) stane rezidentním v paměti a odtud potom provádí svoji škodlivou činnost. Virus zůstává v paměti, dokud systém není vypnut. Výrazné problémy těmto virům nastalo s příchodem 32bitových systémů, kde je jejich chování a přežití závislé na jejich kódu. Všeobecně se dá říci, že čím je virus sofistikovanější a čím používá neobvyklejší příkazy, tím je menší jeho šance na to, že zůstane aktivní a nepovšimnut po startu 32bitového systému.
Rezidentní TSR viry
Některé souborové viry se mohou instalovat do paměti pomocí služeb DOSu jako rezidentní TSR a potom potají provozovat svoji škodlivou činnost a replikovat se. Jedná se vlastně o jakousi podskupinu předchozích rezidentních virů.
Rozdíl mezi těmito dvěma skupinami je v tom, že TSR viry se instalují "legálně" a lze je identifikovat pomocí kontroly vektorů přerušení nebo prohlédnutím paměti některým ze standardních programů. Přestože objevit a lokalizovat takový virus není jednoduché, v principu je to možné. Je třeba hlídat změny vektorů přerušení určených k instalaci rezidentních programů a ihned tak ohlásit pokus programu, který se chce instalovat do paměti. Poté je možno instalaci softwarově povolit nebo zakázat a program zlikvidovat resetem počítače. Hlídání vstupu virů, které se instalují jako TSR, lze tedy provést poměrně úspěšně. Slabinou metody je rozlišení, kdy se jedná o legální a kdy o ilegální program.
Nerezidentní viry
Viry nepotřebují pro svoji škodlivou činnost nutně být trvale umístěné v paměti. Stačí, když jsou aktivovány společně s hostitelským programem. Pak přebírají řízení jako první, provedou svoji činnost, nejčastěji replikaci, a poté předají řízení zpět hostitelskému programu. To právě je případ tzv. nerezidentních virů neboli virů přímé akce.
Nerezidentní viry jsou většinou souborovými viry. Je to poměrně rozsáhlá skupina. Takovéto viry však nejsou příliš rozšířené, poněvadž nemohou z důvodu absence v paměti aplikovat pokročilé techniky virů, jako je například stealth technika (viz níže), a tedy se nemohou ukrývat. Pokud nejsou v paměti, nemohou monitorovat a analyzovat funkce vedoucí k jejich vyhledání.