L’anno 1996 inizia con la comparsa di due interessanti virus. Si tratta, più precisamente, di Boza – il primo virus per Windows 95 – e di Zhengxi, un virus polimorfico scritto da Denis Petrovym, un programmatore russo di San Pietroburgo. Il virus Zhengxi, di fatto, scatena una vera e propria epidemia informatica.

Nel mese di marzo del 1996 si registra poi la prima epidemia di virus per Windows 3.x, causata da Win.Tentacle. Questo virus infetta una rete informatica ospedaliera e varie altre organizzazioni in Francia. Win.Tentacle occupa un posto di particolare rilievo nella storia del malware, visto che si tratta, di fatto, del primo virus per Windows rilevato “in the wild”. Sino ad allora tutti i virus destinati all’OS Windows erano stati conservati in apposite “collezioni”, oppure avevano fatto parte del contenuto di riviste elettroniche per virus writer. Prima dell’avvento di Win.Tentacle esistevano “in the wild” soltanto i virus del settore di avvio, i virus DOS ed i virus macro.

Nel mese di giugno del 1996 compare sulla scena il virus OS2.AEP; si trattava, nella circostanza, del primo virus in grado di infettare i file OS/2 EXE. In precedenza, i virus inserivano il proprio codice nocivo nella location del file ospite, distruggevano tale file, oppure utilizzavano la tecnica del “companion virus”.

Nel successivo mese di luglio viene rilevato “in the wild” Laroux, il primo virus per Microsoft Excel, e più precisamente nei computer di due compagnie operanti nel settore delle perforazioni petrolifere, rispettivamente in Alaska e in Sudafrica. Il virus fu individuato nelle due suddette aree geografiche quasi simultaneamente. Al pari dei virus per MS Word, il payload di Laroux si basava sulle macro, mini-programmi scritti nel linguaggio di programmazione Visual Basic. Tali programmi erano in grado di infiltrarsi nelle tabelle di Excel, così come all’interno dell’applicazione MS Word. È poi emerso che l’editor di Visual Basic incorporato in Excel consentiva anch’esso di poter creare dei virus. Sarà proprio questo virus a provocare, nel mese di aprile 1997, un’estesa epidemia informatica presso numerose società basate a Mosca.

Verso la fine dell’estate, due virus writer – conosciuti, rispettivamente, come Nightmare Joker e Wild Worker – rilasciano quasi simultaneamente due constructor per macro virus: Word Macro Virus Construction Kit e Macro Virus Development Kit potevano essere utilizzati sia con la versione inglese, sia con la versione tedesca di MS Word.

A metà del mese di ottobre, Microsoft viene colpita da un altro incidente di sicurezza informatica, provocato da un virus. Wazzu fu scoperto in uno dei documenti Word adibiti al supporto tecnico dei prodotti Microsoft in Svizzera. In seguito, questo stesso virus fu trovato in un compact disc distribuito dalla società nel corso di Orbit, la nota fiera dell’informatica allestita a Basilea, in Svizzera. I problemi avuti da Microsoft con il virus Wazzu non finirono tuttavia in questa circostanza. In settembre, in effetti, il virus in questione si fece strada sui compact disc di Microsoft Solution Provider. Nel mese di dicembre del 1996, poi, apparve il primo virus per Windows 95 residente in memoria. Esso si caricava nel sistema come un driver VxD, intercettava le chiamate dei file ed infettava poi questi ultimi.

Il 1996, complessivamente, può essere considerato come la fase iniziale di un attacco su larga scala condotto dagli ambienti dell’underground informatico sia nei confronti dei sistemi operativi Windows 95 e Windows NT, sia contro altre applicazioni, quali Microsoft Office. Per tutto il 1996 ed il 1997 fanno la loro comparsa decine di virus per Windows 95/NT, così come diverse centinaia di macro virus. Molti di questi virus utilizzavano tecniche completamente nuove e metodi altamente innovativi, come la capacità “stealth” – per agire furtivamente – e il polimorfismo. Di conseguenza, i virus informatici raggiunsero ben presto un nuovo livello evolutivo, finalizzato a prendere di mira, in particolar modo, i sistemi operativi a 32 bit. Essi seguirono, ad ogni caso, lo stesso sviluppo evolutivo percorso dai virus DOS dieci anni prima. Nel frattempo, era considerevolmente mutato anche il panorama antivirus. Verso la fine dell’anno, Cheyenne Software – la società che aveva sviluppato il programma antivirus InocuLAN – fu acquisita da Computer Associates.