(Engl. "Companion Virus".) Neben der üblichsten Infektionsmethode, eine vorhandene Datei zu verändern (siehe "Parasitäre Viren"), gibt es auch andere Techniken zur Infektion eines Systems. Aufgrund der Funktionsweise von Befehlszeileninterpretern (oder Befehlszeilen-Shells) einiger Betriebssysteme kann sich ein Virus als vollständiges Programm in ein System kopieren und dabei sicherstellen, dass beim Aufrufen eines Programms der Virencode zuerst ausgeführt wird. Solche Programme werden als Begleitviren bezeichnet, und es gibt verschiedene Formen dieser Infektionsmethode.
Wenn die Shell z. B. unter DOS (und über die Befehlszeile bzw. Eingabeaufforderung verwandter Windows-Produkte) einen Befehl erhält, der nicht mit einem vollständigen Dateinamen beginnt, durchsucht sie das aktuelle Verzeichnis und anschließend jedes Verzeichnis in der PATH-Umgebungsvariable (in der aufgeführten Reihenfolge) zunächst nach einer COM-Datei, dann nach einer EXE-Datei und zum Schluss nach einer BAT-Datei, die dem Befehlsnamen entspricht. Daher kann ein Begleitvirus eine EXE-Datei "infizieren", indem er sich in dasselbe Verzeichnis kopiert, in dem sich die Datei befindet, und deren Dateinamen verwendet - allerdings mit einer COM-Erweiterung. (Auf ähnliche Weise könnte eine BAT-Datei "infiziert" werden, indem der Virencode in eine EXE- oder COM-Datei mit demselben Dateinamen kopiert wird.) Sobald der Virus seine Aufgabe erledigt hat, lädt er die Originalprogrammdatei und führt sie aus. Wenn der Virus schnell handelt, ist es unwahrscheinlich, dass der Benutzer die hieraus resultierende kurze Verzögerung bemerkt. Das Ziel wird zudem "normal" ausgeführt, wodurch noch unwahrscheinlicher wird, dass der Benutzer misstrauisch wird. Diese Infektionstechnik wird als Programmausführungsreihenfolge-Methode (Program Execution Order Companion Method) bzw. Ausführungsvorrangs-Methode (Execution Precedence Companion Method) bezeichnet.
Eine weitere Methode der Begleitinfektion sollte aus der vorangegangenen Erklärung des DOS-Befehlsinterpretationsvorgangs ersichtlich sein. Bei der so genannten Pfadreihenfolge-Methode (Path Order Companion Method) bzw. Pfadvorrang-Methode (Path Precedence Companion Method) wird eine Kopie des Virus in dem Pfad vor dem Verzeichnis, das die Zieldatei enthält, erstellt. Die Virendatei erhält denselben Namen wie die Zieldatei (wobei die Dateierweiterung nicht übereinstimmen muss - jede Erweiterung für ausführbare Dateien funktioniert), so dass das Virenprogramm statt des Ziels gefunden und ausgeführt wird. Wie die Begleitviren, die sich über die Ausführungsreihenfolge verbreiten, müssen Pfadbegleitviren sicherstellen, dass das Originalprogramm ausgeführt wird, nachdem der Virus seine Aufgabe erfüllt hat. Im Gegensatz zu Begleitviren, die die Ausführungsreihenfolge nutzen, funktionieren Pfadbegleitviren auch bei Betriebssystemen, die bei der Bestimmung, ob es sich bei einer Datei um ein ausführbares Programm handelt, nicht von Dateierweiterungen abhängig sind - solange etwas ähnliches wie eine PATH-Variable vorhanden ist.
Eine weitere Infektionsmethode von Begleitviren ist die Umbenennung des Zielprogramms, so dass es keine Erweiterung einer ausführbaren Datei mehr aufweist. Der Virus wird daraufhin an dieselbe Stelle, mit demselben Dateinamen und derselben Erweiterung wie das Ziel kopiert. Ruft der Benutzer daraufhin das gewünschte Programm auf, wird stattdessen der Virus ausgeführt. Auch hier gilt: Um eine sofortige Entdeckung zu vermeiden, müssen solche Begleitviren das Originalprogramm laden und ausführen. Dieser Ansatz bietet den Vorteil, dass er unter GUI-Shells (wie dem Windows-Desktop) wahrscheinlich eher funktioniert, da in solchen Umgebungen beim Konfigurieren der Desktop- oder Menüverknüpfungen normalerweise der vollständige Pfad und die vollständigen Dateinamen aufgezeichnet werden. In solchen Umgebungen zeigen Begleitviren, die sich über den Pfad und die Ausführungsreihenfolge verbreiten, kaum Wirkung, da das ursprüngliche Programm intakt bleibt. Da ein Begleitvirus, der Programmdateien umbenennt, das Originalprogramm ersetzt, fällt er bei Integritätsprüfungen schneller auf.
Obwohl Begleitviren eher einfacheren Typs sind (da sie vorhandene ausführbare Dateien nicht ändern müssen), sind sie bis vor kurzem kaum aufgetreten, bis sich eine andere Begleitinfektionsmethode ausweitete. Mit Windows 95 und NT wurden komplexere Vorgehensweisen zur Steuerung der Verarbeitung von Dateien durch die herkömmliche Betriebssystem-Shell (in der Regel Windows Explorer) eingeführt (oder besser gesagt, vorangetrieben). In der Registrierung bestehen komplexe Zusammenhänge zwischen Dateierweiterungen und genauer beschriebenen Dateitypen. Beispielsweise wird die Handhabung von EXE-Dateien durch mehrere Werte in HKEY_CLASSES_ROOT definiert. Diese Sequenz beinhaltet einen Handler zum Öffnen von EXE-Dateien. Normalerweise lädt die Shell einfach EXE-Dateien und führt diese aus, so wie dies in früheren Windows- und DOS-Versionen der Fall war. Dies kann jedoch durch Änderung der entsprechenden Registrierungswerte manipuliert werden, so dass ein anderes Programm ausgeführt wird. Solange der eingeführte Handler die ursprüngliche EXE-Datei "wie gewohnt" ausführt, wird der Benutzer keinen Verdacht schöpfen.
Begleitviren, bei denen das Zielprogramm nicht ersetzt wird, werden von einfachen Integritätsprüfern, die lediglich nach Änderungen an vorhandenen Programmen suchen, nicht entdeckt. Aus diesem Grunde überwachen fortschrittlichere Integritätsprüfer auch, ob einem System neue Programmdateien hinzugefügt wurden. (vgl. "Appender-Viren", "Cavity-Viren", "Überschreibende Viren", "Prepender-Viren")