Continuano a ritmo sostenuto gli attacchi portati dai virus nei confronti di MS Windows, MS Office e le applicazioni di rete; i virus sono in grado di sfruttare nuovi vettori di infezione e si avvalgono di tecnologie sempre più complesse. Compare, nel frattempo, una vasta gamma di programmi Trojan appositamente progettati per realizzare il furto delle password (la famigerata famiglia PSW); si manifestano, allo stesso modo, varie utility malevole per l’amministrazione remota (Backdoor). Numerose riviste di informatica distribuiscono dischi infettati da virus per Windows, oppure dai virus CIH e Marburg. In particolare, i compact disc allegati alle versioni inglese, slovena, svizzera – ed in seguito italiana – della rivista PC Gamer, contenevano il virus Marbug. Più precisamente, questo virus si rivelerà essere contenuto nel programma di registrazione elettronica di un disco di MGM Interactive con il gioco Wargames PC. Alla fine di settembre viene poi scoperto il virus AutoStart, su dischi adibiti alla distribuzione del programma Corel DRAW 8.1 per Mac OS.
L’inizio dell’anno porta un’epidemia causata da un’intera famiglia di virus, Win32.HLLP.DeTroi, la quale non solo infettava i file Win32 EXE, ma era ugualmente in grado di trasmettere informazioni relative ai computer-vittima all’autore del virus. Poiché il virus sfruttava le librerie di sistema utilizzate esclusivamente nella versione francese di Windows, l’epidemia informatica interessò soltanto i paesi francofoni.
Nel mese di febbraio viene individuato il virus Excel4Paix (alias Formula.Paix). Si trattava di un nuovo macro virus, il quale si installava nelle tabelle di Excel utilizzando un’insolita area macro di formule capaci di contenere il codice auto-replicante. In seguito, sempre nello stesso mese, apparvero sulla scena del malware due virus polimorfici destinati a Windows32: Win95.HPS e Win95.Marburg. Essi furono rilevati “in the wild”. Gli sviluppatori di soluzioni antivirus si videro costretti a creare velocemente nuovi metodi di rilevamento dei virus polimorfici; questi ultimi, difatti, fino a quel momento erano stati realizzati soltanto per il sistema operativo DOS.
Nel mese di marzo viene poi individuato AccesiV, il primo virus per Microsoft Access. A differenza dei precedenti virus Word.Concept e Excel.Laroux, esso non causa un allarme eccessivo, visto che la maggior parte degli utenti aveva ormai accettato il fatto che le applicazioni Microsoft fossero altamente vulnerabili. Più o meno contemporaneamente, emerge un altro virus, denominato Cross. Si trattava, in pratica, del primo virus macro multi-piattaforma capace di infettare documenti in maniera simultanea in due diverse applicazioni di Microsoft Office, Word e Access. Sulla scia immediata di Cross si materializzano numerosi altri macro virus, in grado di trasferire il proprio codice nocivo da un’applicazione di Office all’altra. Il più importante di essi è senza dubbio Triplicate (ugualmente conosciuto come Tristate), virus capace di infettare Word, Excel e PowerPoint.
Nel mese di maggio del 1998, Red Team diviene il primo virus in grado di infettare i file EXE di Windows e di distribuire copie di se stesso utilizzando il client di posta elettronica Eudora. Giugno porta poi alla ribalta il famigerato virus Win95.CIH, il quale causa un’epidemia di massa, di proporzioni globali, infettando le reti di computer e migliaia di computer domestici. L’inizio dell’epidemia fu localizzato a Taiwan, dove un hacker sconosciuto aveva inviato dei file infetti ad un list-serve elettronico locale. Dal paese asiatico il virus si propagò negli Stati Uniti, dove i file infetti contagiarono numerosi server web particolarmente popolari e diffusero il virus nell’ambito dei programmi di gioco. Furono probabilmente proprio i server utilizzati per il gioco il principale motivo del manifestarsi di un’epidemia informatica su larga scala, la quale, peraltro, continuò poi per tutto l’anno. Il virus in questione, quasi di colpo, eclissò la “popolarità” in precedenza raggiunta da altri virus “superstar”, quali Word.CAP ed Excel.Laroux. L’elemento di maggior rilievo, indubbiamente, era il payload del virus: a seconda del giorno in cui avveniva l’infezione, il virus avrebbe cancellato il Flash BIOS, evento che, in alcuni casi, avrebbe potuto rendere necessaria la sostituzione della scheda madre. Le complesse procedure adottate dal virus CIH fecero sì che la velocità di sviluppo dei prodotti antivirus aumentasse in maniera significativa. Nel mese di agosto del 1998, l’apparizione di BackOrifice (o Backdoor.BO) suscitò poi numerose polemiche; il programma era stato progettato per essere un’utility segreta, da impiegare, a livello di reti, per l’amministrazione degli host remoti. Poco tempo dopo emersero virus piuttosto simili, quali NetBus e Phase.
Il mese di agosto vede la comparsa di Java.StrangeBrew, il primo modulo eseguibile Java dannoso. Il virus, di per se stesso, non costituiva un pericolo specifico per gli utenti Internet; esso, tuttavia, mise in evidenza il fatto che i virus possono essere ugualmente individuati all’interno di applicazioni attivamente utilizzate per la visualizzazione dei server web.
Nel mese di novembre del 1998 si assiste ad un’ulteriore evoluzione dei programmi malware, con l’apparizione di tre virus preposti ad infettare gli script di Visual Basic (file VBS), script allora attivamente utilizzati per la creazione delle pagine web. Proprio in quel periodo Kaspersky Lab pubblicò uno studio particolarmente approfondito sulla potenziale minaccia rappresentata dai virus VBS. Molti esperti, sul momento, si dimostrarono fin troppo rapidi nell’etichettare la società – come se quest’ultima volesse volontariamente suscitare un’ondata di panico ingiustificato – e criticarono fermamente lo studio realizzato da Kaspersky Lab, per il fatto che, secondo loro, esso avrebbe facilmente provocato un’isteria da virus. Sei mesi più tardi, quando si manifestò – in tutta la sua virulenza – l’epidemia LoveLetter, risultò ben chiaro come le previsioni fatte in precedenza da Kaspersky fossero in realtà del tutto accurate e realistiche. Questa particolare tipologia di virus detiene tuttora il primo posto nell’elenco relativo ai tipi di virus in assoluto più diffusi e pericolosi.
La creazione, da parte degli autori di malware, dei virus di tipo VBScript culminò, logicamente, con la realizzazione di virus scritti completamente in linguaggio HTML, come HTML.Internal. Divenne a quel punto del tutto evidente come gli sforzi dei virus writer iniziassero a concentrarsi in misura sempre maggiore sulle applicazioni di rete. Di fatto, gli scrittori di virus stavano rapidamente procedendo verso la creazione di un worm di rete in grado di sfruttare le falle individuate in MS Windows ed Office, e di infettare, quindi, i computer remoti attraverso i server web o la posta elettronica.
La successiva applicazione di MS Office rimasta vittima di un virus fu PowerPoint. Nel mese di dicembre del 1998, in effetti, un virus di origine sconosciuta, Attach, fu il primo oggetto maligno a colpire tale applicazione. Esso fu immediatamente seguito a ruota da altri due virus, ovvero ShapeShift e ShapeMaster, con ogni probabilità due diverse creazioni di uno stesso identico autore. La comparsa di virus destinati a PowerPoint causò ulteriori grattacapi ai produttori di soluzioni antivirus. Di fatto, i file di questa applicazione Microsoft utilizzano il formato OLE2, il quale determina il modo in cui i virus possono essere poi oggetto di scansione nell’ambito dei file DOS e XLS. Tuttavia, come è noto, i moduli VBA in formato PPT vengono memorizzati in formato compresso; ciò significa, in pratica, che si rendeva necessario, sul momento, progettare nuovi algoritmi per decomprimere tali moduli e facilitare, così, le ricerche da parte del programma antivirus. Nonostante la notevole complessità di un compito solo apparentemente semplice, quasi tutte le società antivirus hanno integrato nei propri prodotti la funzionalità necessaria per garantire un’adeguata protezione nei confronti dei virus appositamente sviluppati per attaccare PowerPoint.
Nel mese di gennaio dell’anno 1998, la rivista Virus Bulletin dà inizio ad un nuovo progetto, denominato VB 100%. L’esecuzione di regolari test sui prodotti antivirus da parte del magazine specializzato viene concepita allo scopo di stabilire se le varie soluzioni di sicurezza IT disponibili sul mercato sono effettivamente in grado di rilevare il 100% dei virus presenti “in the wild”. VB 100% è tuttora considerato uno dei tester indipendenti maggiormente stimati e rispettati. Nel frattempo, si producevano significativi cambiamenti anche nella sfera dei vendor antivirus. Nel mese di maggio, Symantec e IBM annunciano la loro intenzione di operare congiuntamente nello sviluppo di un nuovo software antivirus. Il prodotto in questione avrebbe dovuto essere distribuito da Symantec, con lo stesso identico nome, mentre il software in precedenza realizzato da IBM, ovvero IBM Anti-Virus, avrebbe cessato la sua esistenza. Verso la fine di settembre, Symantec annuncia l’acquisto, da parte sua, del business antivirus di Intel Corporation, LANDesk Virus Protect. Appena due settimane dopo, Symantec sorprende di nuovo gli ambienti dell’industria antivirus con un’altra acquisizione societaria; stavolta è il turno di QuarterDeck, per un importo di 65 milioni di dollari USA. La gamma dei prodotti realizzati da tale società comprende, in effetti, varie soluzioni antivirus, come, ad esempio, ViruSweep.
Una strategia commerciale così aggressiva non passa di certo inosservata agli occhi di NAI, il gigante americano del settore antivirus, che il 13 agosto annuncia l’acquisizione di una delle principali società concorrenti, l’inglese Dr. Solomon. Quest’ultima viene acquistata per la cifra record di 640 milioni di dollari, mediante apposito scambio borsistico. Questi eventi produssero un vero e proprio shock nell’ambito dell’industria antivirus. Il precedente conflitto tra due attori primari del settore era quindi sfociato in un’operazione di compravendita societaria, il cui risultato fu la scomparsa di uno dei più importanti sviluppatori di software antivirus dell’epoca, autore di prodotti tecnologicamente avanzati.
Di particolare interesse fu anche l’acquisizione di EliaShim, sviluppatore del prodotto antivirus E-Safe. L’acquisto fu effettuato nel mese di dicembre, da parte di Alladdin Knowledge Systems, noto produttore di equipaggiamenti e software per la sicurezza IT.
Si verifica infine un curioso episodio relativo alla pubblicazione di un’allerta virus all’interno del celebre quotidiano statunitense New York Times, e più precisamente nel numero uscito in edicola il giorno 21 dicembre. L’autore metteva in guardia gli utenti relativamente alla comparsa di un temibile virus, che si diffondeva attraverso la posta elettronica ed era, tra l’altro, già stato rilevato in alcune reti. Emerse tuttavia, in seguito, che il terribile virus altro non era se non Class, un virus macro già ampiamente noto al pubblico degli esperti.