Bestandsvirus, Parasitair virus

Bestandsvirussen (of parasitaire virussen) gebruiken willekeurige bestaande bestanden als hosts. Gewoonlijk voegt het virus de hoofdtekst van zijn code toe aan het begin van of voegt het de hoofdtekst van zijn code toe aan het einde van het hostbestand, in welk geval de oorspronkelijke bestandsinhoud intact blijft, behalve dat de OEP (origineel toegangspunt) wordt gewijzigd, zodat de viruscode wordt uitgevoerd vóór de oorspronkelijke, legitieme code. Deze infectiemethode zorgt ervoor dat de viruscode wordt uitgevoerd telkens wanneer het geïnfecteerde bestand wordt geopend en biedt ook een middel om zich te verspreiden.

In sommige gevallen kan een virus dat bestanden infecteert het hostbestand beschadigen wanneer het wordt geïnfecteerd door delen van het hostbestand te wissen of te overschrijven. In dit geval kan het hostbestand niet meer correct worden uitgevoerd, hoewel het het virus nog steeds kan verspreiden.

Uitvoerbare bestanden eindigen vaak in extensies zoals .com, .dll, .exe en .sys onder Windows. Sommige bestandsvirussen kunnen scripts zijn die door andere programma's worden geïnterpreteerd en eindigen in extensies zoals .bat (een batchbestand) of .vbs (een Visual Basic-programma).

Vanuit het perspectief van een AV-engine moeten virussen worden gedesinfecteerd om het originele bestand te herstellen, in tegenstelling tot Trojaanse paarden en wormen, die worden opgeschoond door ze simpelweg te verwijderen (en resterende schade te herstellen, zoals gimmicked registerinstellingen). Als een bestandsvirus het hostbestand beschadigt door delen ervan te overschrijven, is desinfectie geen optie.

Hoewel bestandsvirussen in het DOS-tijdperk vaker voorkwamen dan in het Windows-tijdperk, bestaan er verschillende moderne voorbeelden, zoals de families Ramnit, Sality en Virut, die regelmatig over de hele wereld verschijnen.