Stealth viry se aktivním způsobem brání prozrazení své přítomnosti na počítači. Pro účinnost stealth mechanismů musí virus zajistit, aby jeho tělo bylo umístěno do paměti rezidentně. Podstatou stealth technik je monitorování služeb jádra DOSu pro práci se soubory, zejména pak služeb otevření, uzavření a spuštění souboru.
Řada virů se vyhýbá infikaci antivirových či systémových programů. Antivirové programy mají na zavirování vlastního těla velkou senzitivitu, a proto viry se řadě z nich záměrně vyhýbají. Je to jedna z možností, jak se viry brání svému prozrazení.
Snahu o minimální změnu těla objektu útoku demonstruje multipartitní virus StarShip, který v tabulce rozdělení pevného disku (Partition Table) mění pouze tři bajty v instrukcích pro načtení boot sektoru (fyzická adresa - hlava, stopa a sektor).

Částečný stealth mechanismus

Částečný stealth mechanismus maskuje zavirovanou délku souboru. Virus obsahuje přerušení jádra DOSu (int 21h) a monitoruje funkce otevření nebo vyhledání souboru, kdy operačnímu systému vrací délky, tak jako kdyby soubor infikován nebyl.

virus_int21h:
	cmp	ah, 0fh		; sluzba "Otevri soubor pres FCB" ?
	je 	stealth_open_FCB
	cmp	ah, 11h		; sluzba "Najdi prvni soubor pres FCB" ?
	je	stealth_FCB
	cmp 	ah, 12h		; sluzba "Najdi dalsi soubor pres FCB" ?
	je	stealth_FCB
	cmp	ah, 4eh		; sluzba "Najdi prvni soubor" ?
	je	stealth_dir
	cmp	ah, 4fh		; sluzba "Najdi dalsi soubor" ?
	je	stealth_dir		
	... dalsi testy ...
stealth_open_FCB:
	... volej originalni obsluhu int 21h
	... je-li soubor infikovan, pak FCB sniz hodnotu jeho velikosti o virus ...
	... dalsi virove manipulace ...
stealth_FCB:
	... volej originalni obsluhu int 21h
	... zjisti adresu DTA, ve ktere je FCB ulozeno ...
	... je-li soubor infikovan, pak v DTA sniz hodnotu jeho velikosti o virus ...
	... dalsi virove manipulace ...
stealth_dir:
	... volej originalni obsluhu int 21h
	... zjisti adresu DTA, ve ktere jsou informace o souboru ulozeny ...
	... je-li soubor infikovan, pak v DTA sniz hodnotu jeho velikosti o virus ...
	... dalsi virove manipulace ...

V případě návěští stealth_open_FCB a stealth_FCB se velikost souboru nachází na adrese FCB[1dh] resp. DTA[1dh], v případě návěští stealth_dir pak na adrese DTA[1ah]. Vždy se jedná o dvojslovo (DWORD). Při volání funkce 0fh je přímo známa adresa FCB, a proto ji není potřeba zjišťovat prostřednictvím DTA. Stealth FCB délky na úrovni instrukcí je uveden v rámci konstrukce souborového SYS viru.

Úplný stealth mechanismus

Principem úplného stealth mechanismu je rozšíření jeho částečné podoby o manipulaci úplného odvirování žádaného souboru před jeho předáním operačnímu systému a jeho opětovného zavirování v době, kdy příslušný soubor již není žádán resp. je vyvolán požadavek na jeho uzavření.

virus_int21h:
	cmp	ah, 3dh	; sluzba "Otevri soubor" ?
	je	stealth
	cmp	ah, 4bh	; sluzba "Spust souboru - EXEC" ?
	je	stealth
	cmp   ah, 6ch	; sluzba "Rozsireneho otevreni souboru" ?
	je 	stealth
	cmp	ah, 3eh	; sluzba "Uzavri soubor" ?
	je	infect
	... dalsi testy ...
stealth:
	... je-li oteviran nebo spusten spustitelny soubor, pak jej odviruj ...
	... a predej odvirovany soubor pozadovane sluzbe ...
	... dalsi virove manipulace

Důsledkem úplného stealth mechanismu je skutečnost, že antivirové kontroly nezachytí přítomnost viru, neboť v době testování je virus ze souboru již odstraněn.

Při manipulaci se souborem řada virů využívá nedokumentovaný mechanismus přímého přístupu k souboru prostřednictvím SFT:

mov	bx, file_handle	; rukojet souboru
mov	ax, 1220h		; sluzba "zjisti cislo SFT"
int	2fh
mov 	bl, es:di		; cislo SFT (-1 pro neotevreny soubor )
mov 	ax, 1216h		; sluzba "zjisti adresu SFT"
int 	2fh
; adresa ES:DI ukazuje na SFT

Tato posloupnost příkazů nyní umožňuje přímou manipulaci s atributy souboru, módem otevření, nastavení ukazatele posunu v souboru či manipulaci s datem a časem, bez volání služeb jádra DOSu (int 21h), a tím i bez hrozby zachycení operací antivirovým hlídačem.
Například pro nastavení ukazatele posunu na začátek souboru může virus místo volání služby DOSu 42h použít sekvenci:

mov	es:[di+15h], 0	; od offsetu 15h je v tabulce SFT ulozeno
mov	es:[di+17h], 0	; dvojslovo aktualniho posunu v souboru

Podobně pro přenastavení módu otevření na zápis:

mov	es:[di+02h], 2	; read/write mód