Il 1990 vede numerosi e importanti sviluppi riguardo alle tecniche di scrittura dei virus. I virus writer, in effetti, sviluppano nuove funzionalità nocive e danno vita a varie comunità, peraltro ampiamente pubblicizzate, per condividere le informazioni raccolte in materia.
Così, nel 1990, appaiono i primi virus polimorfici, ed in primo luogo quelli riconducibili alla famiglia Chameleon (1260, V2P1, V2P2 e V2P6); essi rappresentavano, a tutti gli effetti, un’evoluzione di Vienna e Cascade, i due noti virus precedentemente comparsi nell’ancor giovane panorama del malware. L’autore di Chameleon, Mark Washburn, utilizzò il libro di Burger sul virus Vienna, per poi aggiungere le tipiche funzionalità di cui era provvisto Cascade, virus in grado di effettuare un processo di auto-codifica. A differenza di Cascade, Chameleon non era soltanto cifrato; il codice del virus creato da Washburn, in effetti, mutava ad ogni infezione realizzata. Questa particolare caratteristica rendeva in pratica del tutto inutili i programmi antivirus dell’epoca. Sino ad allora, i software antivirus si erano esclusivamente basati su un tipo di ricerca ordinaria, di natura contestuale, volta a riconoscere sezioni di codice virale già noto. Chameleon, però, non era dotato di un codice permanente, per cui lo sviluppo di nuove tipologie di programmi antivirus divenne, in quel momento, la priorità numero uno. Gli sviluppi tecnologici necessari non si fecero tuttavia attendere molto. Poco tempo dopo, in effetti, gli esperti antivirus inventarono algoritmi speciali in grado di identificare i virus polimorfici. Successivamente, nel 1992, Eugene Kaspersky sviluppò un metodo ancor più efficace per neutralizzare i virus polimorfici, ovvero un emulatore di processore capace di decifrare i codici. Oggi, questa tecnologia costituisce un elemento ormai incorporato in tutti i programmi antivirus.
La seconda importante pietra miliare fu la comparsa della cosiddetta Bulgarian Virus Producing Factory, una vera e propria centrale dei virus situata in Bulgaria. Di fatto, nel corso di tutto il 1990, e per un certo numero di anni successivi, fu rilevato “in the wild” un considerevole numero di virus di origine bulgara. Citiamo, tra questi, intere famiglie di virus, come Murphy, Nomenclatura, Beast (alias 512, oppure Number of Beast), nuove varianti di Eddie, e molti altri ancora.
Si dimostrò particolarmente attivo, nella circostanza, uno scrittore di virus di nome Dark Avenger: egli rilasciava, ogni anno, numerosi virus, dotati di nuove tecniche di infezione e di occultamento. Fu ad esempio proprio Dark Avenger ad utilizzare per primo una particolare tecnica malevola, per cui il virus, una volta rilevato, avrebbe automaticamente infettato tutti i file presenti nel computer, anche quei file eventualmente aperti per scopi di sola lettura. Dark Avenger dimostrò un’abilità eccezionale, non solo nel creare virus, ma anche nel realizzare la loro diffusione. Eglì caricò attivamente programmi infetti sulle BBS, distribuì i codici sorgente per i propri virus e sostenne in ogni modo possibile la creazione di nuovi virus.
La prima BBS (BBS VX) volta a fornire un forum aperto per lo scambio dei virus e delle informazioni per i virus writer fu allestita proprio in Bulgaria, probabilmente da Dark Avenger. La filosofia che animava tale Bulletin Board era semplice e lineare: se un utente avesse caricato un virus, avrebbe potuto poi effettuare, in cambio, il download di un altro virus presente nel catalogo della BBS. Qualora poi l’utente avesse proposto un nuovo ed interessante virus, avrebbe allora ottenuto il pieno accesso alle risorse presenti nella BBS, potendo così scaricare una quantità illimitata di virus dall’apposita “collezione” allestita. Ovviamente, la BBS VX (Virus eXchange) ebbe un potente effetto sullo sviluppo dei virus, soprattutto per il fatto che tale board era aperta al mondo intero, non solo alla Bulgaria.
Nel mese di luglio dell’anno 1990 si verificò un serio incidente informatico, di cui fu involontario protagonista il magazine specializzato PC Today. Ogni numero della rivista conteneva un floppy disk gratuito, che poi si rivelò essere infetto, visto che recava una copia di DiskKiller. Nell’occasione, furono vendute oltre 50.000 copie della suddetta rivista di informatica, edita in lingua inglese. La vasta epidemia che ne derivò fece davvero la storia della virologia!
Nella seconda metà del 1990 compaiono sulla scena del malware due innovativi virus “stealth”: Frodo e Whale. Entrambi si avvalevano di un algoritmo incredibilmente complesso, allo scopo di occultare la propria presenza nel sistema. Whale – un virus di 9 kilobyte – utilizzava ugualmente vari livelli di cifratura, così come tutta una serie di astute tecniche anti-debug.
Fanno la loro comparsa, intanto, i primi virus russi: Peterburg, Voronezh e LoveChild.
Nel mese di dicembre del 1990 viene fondato ad Amburgo, in Germania, l’EICAR (European Institute for Computer Antivirus Research). Tale istituto è ancora considerato una delle organizzazioni internazionali più autorevoli, visto che riunisce professionisti che provengono, in pratica, dalle principali società antivirus mondiali.