Un virus se comporta siempre como un parásito. Se introduce mediante un "vector de propagación" que es siempre un código ejecutable, es decir, un programa portador que lo hospeda, o un sector de inicio. Al ejecutar este programa, el virus pasa a la memoria central y se pone en actividad. A partir de allí puede multiplicarse por duplicación e infectar a los "vectores blanco", que pueden ser o bien otros archivos, o bien zonas sensibles seleccionadas en los discos.

Entonces, el vector de propagación debe ser ejecutado al menos una vez. Al cargar o ejecutar el programa que lo hospeda el virus se vuelve activo. Esto significa que si el programa infectado no es activado, si no es ejecutado, el virus no puede manifestarse. Una vez activado el virus las situaciones posibles son muchas, y dependen de su naturaleza misma, y de su código.

Su primer objetivo consistirá en contaminar uno o varios blancos que le permitirán volver a ejecutarse con la mayor frecuencia posible. Cada uno de esos blancos se denomina "vector de contaminación". Un virus puede estallar simultáneamente en varios vectores.

Como puede observarse, existen siempre tres etapas características de un virus:

  Una etapa de infección: cuando el virus infecta al sistema que es su blanco. Muchas veces se confunde con la etapa siguiente.

  Una etapa de contaminación: durante la cual el virus se conforma con duplicarse e infectar a otros blancos o no, sin perturbar el funcionamiento del sistema.

  Una etapa agresiva o destructiva: entra en actividad y produce los efectos para los que fue programado. 0 bien para los que no fue programado, pero que resultan de "bugs", errores de programación, que también existen y a veces son aún más peligrosos.

Si no se ha tomado ninguna precaución especial, recién se comprueba la existencia de un virus cuando ya pasa a ser activo y/ o destructor. Es como la presencia de una enfermedad, que por lo general pasa inadvertida hasta que se manifiestan sus primeros efectos. De ahí en más hay que tomar todas las medidas curativas para eliminar al virus.

Pero el creador de un virus siempre busca que éste tenga primero, tiempo suficiente para duplicarse y expandirse lo más rápido posible. En consecuencia, tal vez tienda a conferirle una duración más prolongada a la primera etapa de contaminación. Sin embargo, no debe ser demasiado larga, ya que esto iría en detrimento del placer sutil que consiste en saber que se destruyó archivos preciosos a la mayor cantidad de usuarios posible. Por lo tanto, esta primera etapa también deberá ser de una duración limitada.

Veamos lo que sucedería, por ejemplo, en la etapa de contaminación para el caso de un virus simple. El virus examina los blancos que su creador le asignó. Supongamos que se trate de programas; si encuentra un archivo ejecutable que aún no infectó, procederá del siguiente modo:

  Guarda la dirección de partida del programa original.

  Se copia al final del programa.

  Crea una nueva dirección de lanzamiento del programa, indicando su propia dirección.

De este modo, cuando se lance el programa infectado, será el virus mismo el que se active en primer lugar. Desarrollará la infección como se indicó anteriormente y, luego de una nueva duplicación, pasará el mando a la dirección de entrada del programa que había guardado. Así, en un primer momento, todo parece estar en orden.

La activación de la etapa destructiva del virus depende de su programación. Podrá ser una fecha del sistema; el virus del Viernes 13, por ejemplo, se vuelve activo un viernes 13. 0 tal vez sea una serie de puestas en servicio, una cantidad de tiempo en minutos o en días, o cualquier evento programado.

Para algunos virus no existe distinción entre esas dos etapas, y se toman de inmediato destructivos, aun cuando continúen infectando otros blancos.