Názov je odvodený od biologických originálov. Vírus je schopný seba-replikácie, avšak iba za prítomnosti svojho hostiteľa. Ide teda o časť genetického kódu (informácie), ktorá nie je schopná samostatnej existencie a rozmnožovania sa bez napojenia na nositeľa. Aby mohol existovať, ihneď po spustení alebo vykonaní hostiteľa (napr. súbor s príponou .exe) sa spustí aj kód vírusu. Počas tohto okamžiku sa vírus pokúša zaistiť svoju replikáciu a to pripojením k ďalším vhodným hostiteľom.
Medzi základné dve vlastnosti vírusov patrí:
Neviditeľnosť (stealth) – schopnosť maskovať svoju prítomnosť, za účelom maximalizovania šance na svoje šírenie. Jedna metóda spočíva v tom, že vírus kontroluje dôležité činnosti. Obyčajne to vykonáva tak, že presmeruje vektor prerušenia alebo API funkciu na seba a prevezme aspoň časť kontroly. Ďalšou technikou zabezpečujúcou neviditeľnosť vírusu pri editácii (napr. antivírusovým programom), je dočasné odvírenie práve kontrolovaného súboru.
Polymorfizmus – schopnosť pripájať mutovanú kópiu signatúry vírusu, napríklad pomocou zmeny poradia inštrukcií, vloženia bitového šumu resp. dynamického šifrovania.
Vírusy je možné rozdeliť podľa zdroja aktivácie na:
Bootvírusy – vírusy ktoré sa šíria nabootovaním infikovaného bootovacieho média (napr. CD, disketa).
Súborové vírusy – vírusy špecializujúca sa na dátové súbory, ktoré obsahujú spustiteľný kód.
Makrovírusy – makro, ktoré je schopné skopírovať samo seba z jedného dokumentu do druhého, sa nazýva makrovírusom. Pre jeho šírenie je potrebné splniť niekoľko podmienok. Príslušná aplikácia musí byť početne užívaná medzi užívateľmi a musí dochádzať k výmene dát spolu s makrami medzi jednotlivými užívateľmi a počítačmi. Tieto podmienky spĺňajú hlavne aplikačné programy MS Office a to hlavne MS Word a MS Excel. Programy z MS Office neukladajú makra do špeciálnych súborov, ale do rovnakých súborov ako samotné dáta. V takomto prípade sa nejedná čisto o dátový súbor, ale svojím spôsobom o program, čo zásadne mení prístup k takýmto súborom z hľadiska bezpečnosti.
Antivírusové skenery sú najstaršou súčasťou antivírusového programu. Na počiatku éry skenerov, bola využívaná metóda vyhľadávajúca vírusy na základe skupiny inštrukcií, ktoré boli pre daný vírus typické. Vírusová databáza bola naplnená sekvenciami známych vírusov. Pri kontrole súborov boli tieto sekvencie hľadané priamo v zdrojovom kóde súborov, čo mohlo prinášať falošné poplachy. Výrazné zníženie falošných poplachov priniesla tzv. exaktná identifikácia. V nej po nájdení sekvencie vírusu, skener spočíta ešte kontrolné súčty konštantných oblastí v tele vírusu, porovná zistené informácie s informáciami vo vírusovej databáze a až potom upozorní užívateľa o prítomnosti vírusu. Výber spoľahlivej sekvencie býval jednoduchou záležitosťou, preto autori vírusov sa pokúšali znemožniť odhalenie svojich diel tak, že začali písať zakódované vírusy. V tomto prípade je možné sekvenciu vybrať len z veľmi malej časti kódu – dekryptovacej slučky. Skutočný problém však nastal príchodom polymorfných vírusov, ktoré dokázali generovať rôzne tvary dekryptovacích slučiek. V tomto prípade je nemožné detekovať vírusy na základe sekvencií. Moderné skenery preto obsahujú emulátor strojového kódu, ktorým sa pokúšajú emulovať prevedenie slučky a následne vyhľadávať vírusy v nezašifrovanej podobe. Úspešnosť v odhaľovaní napadnutých súborov, je daná kombináciou niekoľkých úrovní detekcie:
Detekcia známych vírusov – je najjednoduchšia technika a spočíva v odhalení známeho vírusu pomocou signatúry (t.j. sekvencia znakov stabilne sa vyskytujúcich v tele vírusu), ktorá je vo vírusovej databáze zaznamenaná ako identifikátor.
Generická detekcia – je obecnejšou metódou známych vírusov, využívanou pre rozpoznávanie nových variant. Pokiaľ nie je nájdený známy vírus, hľadajú sa sekvencie typické pre určitý vírus, ktoré sa pri jeho modifikáciách obvykle nemenia. Táto metóda je účinná predovšetkým pri detekcii makrovírusov.
Heuristická analýza – umožňuje identifikovať vírus, ktorý nie je zaradený vo vírusovej databáze. V priebehu heuristickej analýzy sa používajú dve metódy:
Statická heuristická analýza – hľadanie podozrivých dátových konštrukcií,
Dynamická heuristická analýza – emulácia kódu, to znamená jeho spustenie v chránenom prostredí virtuálneho počítača vo vnútri antivírusového programu a hľadanie typických akcií, odpovedajúcich chovaniu vírusu.
