Compare sulla scena il virus Vienna. La sua apparizione e la successiva diffusione in tutto il mondo furono oggetto di accesi dibattiti in seno alla comunità globale, visto che si cercava di scoprire in ogni modo l’identità dell’autore. La prima persona in grado di individuare il virus fu Franz Swoboda; il suo avvertimento in merito alla scoperta di un programma auto-replicante denominato Charlie fu pubblicizzato da numerose società operanti nel campo dell’informatica e attirò ugualmente l’attenzione dei media. Come era lecito attendersi, erano davvero in molte le persone interessate a scoprire chi fosse l’autore del virus; allo stesso modo, si cercava di individuare la fonte della conseguente epidemia informatica. Nella circostanza trapelarono alcune informazioni, secondo le quali pareva che Swoboda avesse ricevuto il virus da Ralf Burger; quest’ultimo, poi, negò del tutto la versione di Franz Swoboda, affermando che, al contrario, era stato proprio lui a ricevere il virus da Swoboda. Di fatto, non fu mai rivelato chi fosse, effettivamente, l’autore del programma malware in questione.

Nonostante la gran confusione attorno all’identità dell’autore di Vienna, la comparsa del virus si rivelò particolarmente significativa per un altro specifico motivo. In effetti, uno dei suoi potenziali autori, Ralf Burger, inoltrò una copia del programma a Bernt Fix, il quale fu in grado di neutralizzare il virus. Si trattava, in pratica, della prima occasione in cui qualcuno si era effettivamente rivelato capace di neutralizzare tale genere di software nocivo. Fix può essere quindi ritenuto un precursore degli attuali professionisti dell’industria antivirus, sebbene gli esperti di sicurezza IT dei giorni nostri non solo analizzano e neutralizzano virus ed altre temibili tipologie di malware, ma, cosa ancora più importante, rilasciano moduli in grado di rilevare i programmi maligni, proteggere i computer degli utenti ed eliminare le eventuali infezioni informatiche.

In seguito, Burger capitalizzò il lavoro svolto da Bernt Fix, pubblicando il codice utilizzato per neutralizzare il virus Vienna nel libro intitolato “Computer Viruses: The Disease of High Technology”, opera analoga, per contenuti, a quella realizzata da B. Khizhnyak, ovvero “Writing Viruses and Anti-Viruses”. Nel suo libro Burger spiegava il modo in cui il codice del virus poteva essere modificato, allo scopo di neutralizzare la capacità di auto-replicarsi posseduta da quest’ultimo. Il libro in questione acquisì un’ampia popolarità, probabilmente per il fatto che in esso si spiegava in dettaglio come venivano creati i virus; in pratica, tale pubblicazione servì da stimolo per la realizzazione di migliaia di virus, i quali furono parzialmente o completamente sviluppati proprio sulla base delle idee espresse in questo libro.

Nel corso del 1987 compaiono ugualmente, sulla scena del malware, numerosi altri virus preposti ad infettare i personal computer IBM compatibili:

  • il famoso virus Lehigh, così denominato in onore dell’università della Pennsylvania dove lo stesso fu individuato per la prima volta; tale istituto universitario viene ironicamente ritenuto l’alma mater del padre della moderna virologia informatica;
  • la nota famiglia di virus Suriv;
  • una serie di virus destinati a colpire il settore di boot, propagatisi in vari paesi: Yale negli USA, Stoned in Nuova Zelanda, Ping Pong in Italia;
  • Cascade, il primo file virus provvisto di auto-crittografia.

Lehigh ha fatto davvero la storia, visto che è stato il primo virus in grado di arrecare danni direttamente ai dati; tale virus, di fatto, distruggeva le informazioni custodite sui dischi. Fortunatamente, la Lehigh University poteva contare su numerosi esperti di computer, particolarmente abili nell’analizzare i virus. In tal modo, il virus non uscì mai dai confini dell’università statunitense; Lehigh, in pratica, non è stato mai rilevato “in the wild”.

Il virus Lehigh lanciava una routine distruttiva, la quale produceva, innanzitutto, la cancellazione di dati importanti, per poi condurre, in certi casi, all’eliminazione del virus stesso. Lehigh infettava, in primo luogo, solo i file di sistema command.com. Dopo aver infettato ben quattro file, il virus iniziava a distruggere i dati, per poi distruggere, eventualmente, anche se stesso.

Già allora gli utenti avevano iniziato a considerare con maggiore attenzione il tema della sicurezza informatica, cercando quindi di imparare a proteggersi nei confronti dei virus. Gli utenti più cauti ed accorti, ad esempio, impararono alla svelta a monitorare la dimensione del file command.com, poiché sapevano che l’aumento di tale dimensione costituiva il primo sintomo di una potenziale infezione.

La famiglia di virus Suriv (provate un po’ a leggere il nome al contrario…), opera di un programmatore israeliano di cui non si è mai conosciuta l’identità, presentava anch’essa caratteristiche di particolare interesse. Così come nel caso del famoso virus Brain, è davvero difficile poter stabilire, nella circostanza, se si sia trattato di un semplice esperimento sfuggito di controllo, oppure della creazione premeditata di un programma dannoso. Molti esperti antivirus sono stati piuttosto inclini a pensare che si trattasse, effettivamente, di una sorta di esperimento. La scoperta, presso la Yisrael Radai University, di alcuni frammenti di codice ha ulteriormente supportato questa versione. Tale università è stata in grado di dimostrare che l’autore del virus, in sostanza, tentava di modificare il processo relativo all’installazione dei file in formato EXE; inoltre, l’ultima variante del virus in questione era, in pratica, solo una versione di debug.

Il primo membro della suddetta famiglia di virus, giustamente denominato Suriv-1 dal proprio autore, era in grado di poter infettare in tempo reale i file COM ai quali accedeva. Per far ciò, il virus si caricava nella memoria del computer, rimanendo poi attivo fino allo spegnimento del computer infetto. Questo consentiva al virus di poter intercettare le operazioni sui file e, nel caso in cui l’utente avesse caricato il file COM, di poter infettare immediatamente quest’ultimo. Tali circostanze facilitavano il processo di diffusione del virus, quasi istantaneo, sui supporti di archiviazione rimovibili.

Suriv-2, al contrario del suo predecessore, prendeva di mira i file EXE. Si è trattato, a tutti gli effetti, del primo virus in grado di penetrare all’interno di file provvisti di estensione EXE. La terza “incarnazione”, ovvero Suriv-3, combinava poi le caratteristiche possedute dalla prima e dalla seconda versione del virus; Suriv-3, di fatto, era in grado di contagiare sia i file COM, sia i file EXE.

La quarta variante del virus in questione, denominata Jerusalem, apparve poco dopo e fu capace di diffondersi rapidamente in tutto il mondo; nel 1988 Jerusalem causò una vera e propria epidemia informatica, su scala mondiale.

L’ultimo significativo evento del 1987 fu la comparsa del famoso virus cifrato Cascade, così denominato in base alla specifica peculiarità di una parte del suo payload. In effetti, una volta che il virus veniva attivato, i caratteri presenti sullo schermo precipitavano “a cascata” verso l’estremità inferiore dello stesso, formando una sorta di mucchio (vedi cascade.bmp). Il virus Cascade si componeva di due parti ben distinte: il corpo del virus e la routine di codifica/decodifica. Quest’ultima provvedeva a cifrare il corpo del virus, in maniera tale che lo stesso apparisse diverso in ogni file infettato. Una volta caricato il file, il controllo veniva di fatto trasferito alla routine di cifratura/decifratura, la quale decodificava il corpo del virus, trasferendo ad esso il controllo.

Cascade può essere quindi considerato il predecessore dei virus polimorfici, programmi dannosi che non dispongono di un codice permanente, e tuttavia mantengono inalterate le loro specifiche funzionalità nocive. Ad ogni caso, a differenza dei futuri virus polimorfici, Cascade criptava esclusivamente il corpo del virus. La dimensione del file infetto veniva poi utilizzata come chiave di decodifica. La routine di decifratura, da parte sua, rimaneva invariata; una caratteristica del genere permetterebbe alle attuali soluzioni antivirus di rilevare un simile malware con estrema facilità.

Nel 1988, Cascade provocò un serio incidente informatico negli uffici della sede belga di IBM; tale circostanza servì in pratica da impulso decisivo per la realizzazione e lo sviluppo, da parte di IBM, di un proprio prodotto antivirus. Prima di allora, qualsiasi soluzione antivirus sviluppata da IBM era stata esclusivamente intesa per uso interno.
Più tardi, Mark Washburn combinò le informazioni pubblicate da Ralf Burger riguardo al virus Vienna con il concetto di auto-codifica utilizzato per Cascade, creando in tal modo Chameleon, la prima famiglia di virus polimorfici.

Nel 1987 i computer IBM non sono più le uniche vittime del malware: in quell’anno vengono infatti scritti virus per Apple Macintosh, Commodore Amiga e Atari ST.

Nel mese di dicembre 1987 si verifica la prima vasta epidemia informatica nell’ambito delle reti locali: il worm Christmas Tree, scritto in linguaggio REXX, si diffonde sui sistemi operativi VM/CMS-9. Il worm fu “sguinzagliato” il 9 dicembre sulla rete Bitnet, tramite un’università tedesco-occidentale, attraverso un portale dell’European Academic Research Network (EARN), per poi raggiungere la Vnet di IBM. Soltanto quattro giorni dopo (il 13 dicembre), il virus aveva già invaso la rete. Una volta caricato, Christmas Tree – fedele al suo nome – mostrava un albero di Natale sullo schermo ed inviava copie di se stesso a tutti gli utenti della rete i cui indirizzi risultavano elencati nei file di sistema NAMES e NETLOG.