Os vírus de arquivo ficam armazenados "dentro" de arquivos executáveis - geralmente os arquivos com extensão EXE ou COM. Eles alteram o arquivo original de forma que sejam carregados para a memória (RAM) antes do arquivo original. Uma vez na memória, o vírus contamina todos os arquivos executáveis que forem chamados a partir de então.
O arquivo preferido dos vírus é o COMMAND.COM, que é sempre executado. Com o COMMAND.COM infectado, todos os programas que forem executados após o "contágio" serão automaticamente infectados pelo vírus, que tratará de copiar para cada arquivo uma cópia de seu próprio código.
Caso você "rode" um arquivo executável infectado em um micro "limpo", isto fará com que o micro seja igualmente "infectado": muito provavelmente o vírus procurará o COMMAND.COM do micro "limpo" para lá armazenar uma cópia de seu código.
Importante notar que os vírus de arquivo são carregados para a memória (RAM) somente após você ter executado um arquivo contaminado. Se você possuir um arquivo contaminado porém não o executar, ele não terá como infectar o micro nem como destruir dados, já que o vírus não terá como passar para a memória (RAM).
A seguir ilustramos o funcionamento de um vírus de arquivo chamado Barrotes. Este vírus possui 1.310 bytes de código. O arquivo COMMAND.COM do MS-DOS possui 54.619 bytes (este tamanho varia conforme a versão utilizada). O arquivo, quando infectado, "engordou" 1.310 bytes, passando a ter 55.929 bytes.
COMMAND.COM (54.619 bytes)
Vírus Barrotes (1.310 bytes)
Total: Arquivo com 55.929 bytes
Alguns programas antivírus (como o CPAV e o MSAV) criam uma lista (checklist) dos arquivos executáveis e de seus tamanhos. Caso um arquivo executável aumente misteriosamente de tamanho, o programa antivírus alerta ao usuário a possibilidade do arquivo estar infectado por um vírus desconhecido.
É claro que os criadores de vírus conseguiram burlar este "problema". Em geral, os vírus mais recentes, quando estão em memória (RAM), forçam o sistema operacional a indicar o antigo tamanho do arquivo e não o tamanho com que ele ficou após estar infectado.
Vírus de arquivo só podem ser removidos através de programas antivírus. O programa antivírus possui um banco de dados contendo o código de vários vírus. Ele compara todos os arquivos do disco rígido (ou disquete) com este banco de dados, na procura por vírus. Encontrando, este mesmo banco de dados aponta como desinfectar o arquivo contaminado.
Como, em geral, o vírus apenas "cola" o seu código ao arquivo executável, a remoção do vírus é possível sem "estragar" o arquivo infectado.
Entretanto, há certos tipos de vírus que sobrepõem parte do código do arquivo executável, destruindo automaticamente parte do arquivo ao infectá-lo. Com isto, a remoção do vírus torna-se impossível, pois o arquivo original não poderá ser recuperado. Contudo, o antivírus é capaz de apontar os arquivos infectados por vírus deste tipo e recomendar que eles sejam apagados. Este é o caso do vírus Freddy Kruegger, por exemplo.
Existem milhares de vírus de arquivo. Alguns dos mais conhecidos são o Atenas (Trojector) e o Natas, além dos já citados acima.
