Figura 3: Infezione di un device driver
Fortunatamente solo pochi virus infettano i file SYS (vedi figura 3). Tali virus possono
essere estremamente pericolosi ed hanno una grossa vitalità, perché si installano in
memoria prima del caricamento di un programma anti-virus. Essi aggiungono il loro codice al corpo del
file (vedi figura 3) e modificano l'header in modo da cambiare gli indirizzi delle routine
Strategy e Interrupts del driver da infettare. Quando il DOS carica un driver infetto
e lo inizializza, il virus intercetta la richiesta del sistema operativo, inizializza se stesso ed
il driver, e rimane in memoria insieme con il codice del driver, diventando di fatto una parte del
sistema operativo.