Una característica fundamental en la propagación de un virus es su mecanismo de activación. Un virus sólo puede llevar a cabo su acción si su código tiene oportunidad de ejecutarse, con lo que consigue propagarse a través de su ejecución parasitaria, modificando programas de uso frecuente, a los que añade la tarea adicionar de la ejecución del propio virus.
En los ordenadores personales que utilizan el sistema operativo DOS, el objetivo principal de los virus son aquellas partes del sistema operativo utilizadas con mayor frecuencia, además de los programas de aplicación. Estas partes son principalmente los sectores de arranque, tanto de los discos flexibles como del disco duro. Estos puntos de arranque configuran una base aceptable para clasificar los virus en función de las partes que modifican en su ataque:
Los virus del sector de arranque son aquéllos que son capaces de nodificar la tabla de particiones de un disco duro o el programa de arranque [boot] de un disco flexible. En general, sustituyen el contenido original del sector correspondiente por una versión propia para arrancar el sistema; el contenido original del sector de arranque se almacena en cualquier sector libre del disco.
En el sector de arranque se almacena la parte de código del virus que permanece residente en la memoria interna. Este código cargará en la memoria el resto del virus, situado en un conjunto de sectores del disco que aparecen como sectores defectuosos, y que realmente contienen el cuerpo del programa contaminante, en unos casos, o junto con la información de la parte del sector de arranque ocupada por el virus, en otros.
Cuando se inicia una sesión de trabajo con el ordenador, se ejecutará primero la versión modificada del sector de arranque y, si fuese necesario, se ejecutaría también la versión original. Posteriormente el virus ejerce de coordinador, interfiriendo la acción del sistema operativo desde que se almacena en la memoria.
En resumen, el mecanismo de un virus de sector de arranque implica utilizar tres componentes para integrarse en el ordenador:
Los virus de programas son aquéllos que son capaces de modificar la estructura de los ficheros ejecutables (.COM, .EXE), sus expansiones [overlays, .OVL], o sus bibliotecas de enlaces dinámicos [dynamic link libraries, .DLL], insertándose al principio o al final del fichero que contaminan y dejando generalmente intacto el cuerpo del programa que los contiene. Cuando se ejecuta un programa contaminado, el virus toma el control y se instala residente en la memoria a través del servicio de interrupciones del DOS. A continuación pasa el control al programa que lo porta, permitiéndole una ejecución normal. Una vez finalizada ésta, si se intenta ejecutar otro programa no contaminado, el virus ejercerá su función de autocopia, insertándose en el nuevo programa que se ejecute.