Wirusy nierezydentne (ang. non-resident viruses)
Wirusy te są najprostszą odmianą wirusów zarażających pliki wykonywalne. Po uruchomieniu pliku nosiciela wirus poszukuje kolejnego obiektu, który może zarazić. Jeśli takowego nie znajdzie, sterowanie oddawane jest do nosiciela, a jeśli znajdzie to kolejny obiekt jest infekowany. Sposób poszukiwania ofiary może być różny. Zwykle przeszukiwany jest bieżący katalog oraz podkatalogi bieżącego katalogu, a także katalog główny oraz katalogi określone w zmiennej środowiskowej PATH.
Wirusy nierezydentne posiadają dwie zasadnicze wady. Pierwszą z nich jest to, że poszukiwanie ofiar po uruchomieniu pliku nosiciela wiąże się ze sporym opóźnieniem w uruchomieniu właściwego programu, oraz z łatwo zauważalną przez użytkownika wzmożoną aktywnością przeszukiwanego nośnika. Drugą wadą jest to, iż zarażają one inne pliki tylko i wyłącznie po uruchomieniu nosiciela, a więc nie mogą efektywnie infekować plików ani też skutecznie maskować swej obecności w systemie, tak jak czynią to wirusy rezydentne. Wirusy nierezydentne są najczęściej tworzone przez początkujących twórców wirusów. Bardzo łatwo jest stworzyć prostego wirusa nierezydentnego w asemblerze.
Wirusy rezydentne (ang. resident viruses)
Można powiedzieć, że wirusy nierezydentne są dość ograniczone, gdyż łatwo je wykryć. Stąd też wzięły się poszukiwania aby odkryć coś nowego. Za czasów systemu DOS trzeba było wynaleźć jakiś mechanizm, który pozwalałby w typowo jednozadaniowym środowisku stworzyć mechanizm sztucznej wielozadaniowości. Tak powstały wirusy rezydentne. Ich zasada działania polega na zainstalowaniu się w pamięci operacyjnej komputera i przejęciu odpowiednich odwołań do systemu w sposób podobny do tego, w jaki czynią to programy typu TSR (ang. Terminate but Stay Resident). Wirus rezydentny to w zasadzie program TSR, który po zainstalowaniu ukrywa swój kod przed programami przeglądającymi pamięć. Będąc jednocześnie aktywnym i ukrytym w pamięci ma o wiele szersze pole działania niż wirusy nierezydentne. Używa on techniki tzw. stealth do ukrywania się. Zawładnięcia systemem dokonuje poprzez przejęcie odpowiednich przerwań sprzętowych i funkcji obsługiwanych przez ogólnie dostępne przerwania programowe.
Ze względu na szybkość mnożenia się wirusy rezydentne dzielimy na szybkie infektory i wolne infektory.
Szybkie infektory (ang. fast infectors): ich celem jest jak najszybsza infekcja całego systemu. Przejmują wszystkie możliwe funkcje systemu DOS używane do obsługi plików i zarażają wszystko, co się da w maksymalnie krótkim czasie. Często pierwszą czynnością wykonywaną przez wirusa jest zniszczenie kodu w pamięci operacyjnej, dotyczącego zamazywalnej części interpretatora poleceń, co sprawia, że przy następnym wywołaniu jakiegokolwiek polecenia z poziomu DOS plik zawierający interpretator poleceń (najczęściej plik command.com) zostanie ponownie uruchomiony i natychmiast zainfekowany. Duża aktywność wirusów tego typu może być łatwo zauważalna dla użytkownika. Użycie najlepszych nawet technik stealth także się nie sprawdzi, zwłaszcza gdy użytkownik wykonuje dużo operacji dyskowych.
Wolne infektory (ang. slow infectors): można powiedzieć, że są bardziej inteligentne od szybkich infektorów. Ich głównym celem jest jak najdłuższe przetrwanie i powolne infekowanie systemu tak, aby użytkownik się w niczym nie zorientował. Wirusy te używają wolnych, zmiennych procedur szyfrujących i techniki stealth. Infekują przeważnie tylko takie obiekty, które tworzy lub modyfikuje użytkownik. Powoduje to, że niedoświadczony użytkownik, nawet w przypadku sygnalizowania niebezpiecznej operacji przez program antywirusowy będzie przekonany, że potwierdza wykonywane przez siebie czynności. Wirusy tego typu są bardzo trudne do wykrycia i usunięcia nawet przez bardzo zaawansowane programy antywirusowe i zaawansowanych użytkowników znających dobrze system operacyjny.
