Le tendenze emerse nella seconda metà del 2004 si manifestano anche durante gli anni successivi, sia nel 2005 che nel 2006. Sebbene non si registrino seri incidenti informatici provocati da programmi Trojan, il numero di tali software nocivi raddoppia rapidamente ed i loro metodi di propagazione si diversificano in misura sempre maggiore. Pur continuando a diffondersi attraverso il mezzo abituale, ovvero la posta elettronica, i Trojan si propagano adesso anche tramite i sistemi di messaggistica istantanea, i siti web ed i worm di rete. Allo stesso tempo, i worm di rete non riconducibili alla tipologia e-mail worm acquisiscono una crescente “popolarità”; essi si introducono furtivamente nei computer-vittima sfruttando vari tipi di bug nel software. I worm Mytob e Zotob (Bozori), i cui autori furono peraltro arrestati nel mese di agosto del 2005, sono esempi particolarmente significativi di tale genere di programma maligno.
La storia dei suddetti worm di rete è caratterizzata da eventi davvero curiosi e singolari. Essi riuscirono ad insinuarsi nelle reti informatiche di una serie di colossi americani dell’informazione, quali ABC, CNN e New York Times, paralizzando, di fatto, le attività di tali importanti mass media. Avendo scoperto che i worm in questione avevano invaso le loro reti, tali corporation ebbero, peraltro, una reazione piuttosto esagerata, dando vita a quel genere di titoli ad effetto che sarebbe lecito attendersi, magari, solo nel caso di un’epidemia informatica globale, foriera di conseguenze paragonabili a quelle prodotte dalle gravi epidemie provocate dai worm di rete nel periodo 2003-2004. La risposta fornita dette quasi l’impressione di una sorta di “fame” di incidenti globali, da prima pagina, del tutto simili alle serie epidemie causate in precedenza dai famigerati worm Mydoom, Bagle e Sasser.
Continuano nel frattempo ad emergere nuovi virus e Trojan per piattaforme mobile, destinati a colpire, in particolar modo, l’OS Symbian. Oltre al metodo di propagazione più consueto – la connessione Bluetooth, essi sfruttavano metodi di diffusione del tutto nuovi. Il 10 gennaio appare Lasco. Si trattava del primo virus in grado non solo di auto-replicarsi su altri telefoni, ma anche capace di infettare i file eseguibili Symbian. Esso fu seguito, il 4 marzo, da Comwar, il quale inviava copie di se stesso, tramite i messaggi MMS, ai contatti presenti nella rubrica dell’utente (in maniera molto simile agli e-mail worm di prima generazione). Il 13 settembre vide poi la comparsa di Cardtrap, un programma Trojan il cui scopo era quello di installare altri file malevoli per Windows, realizzando quindi un tipo di infezione cross-platform.
Nel periodo ottobre-novembre si scatena uno “scandalo” di vaste proporzioni, attorno alla scoperta di tecnologie Trojan rootkit nell’ambito dei compact disc realizzati da Sony BMG. Nella circostanza, le tecnologie rootkit venivano utilizzate per proteggere i CD nei confronti di eventuali operazioni di pirateria informatica. Le stesse identiche tecnologie, tuttavia, potevano essere ugualmente impiegate per scopi criminali, ed è esattamente ciò che avvenne quasi immediatamente dopo, quando, il 10 novembre, fu individuato il primo Trojan backdoor in grado di sfruttare in modo malevolo tali circostanze.
Da parte sua, l’industria antivirus sta attraversando una fase caratterizzata da profondi cambiamenti. Microsoft, ad esempio, cerca attivamente di entrare nel mercato del software antivirus e, a tale scopo, procede all’acquisizione, quasi simultanea, di due società antivirus. L’8 febbraio, Microsoft rileva Sybari, società specializzata in tecnologie di protezione per la posta elettronica di Microsoft Exchange. Segue poi, il 20 luglio, l’annuncio relativo all’acquisizione di FrontBridge Technologies, noto sviluppatore di tecnologie di filtraggio del traffico di rete. Tutto questo si aggiungeva al precedente acquisto dell’antivirus RAV, effettuato nel 2003, e all’acquisizione di GIANT – società specializzata in Anti-Spyware – come annunciato il 16 dicembre 2004.
Il 5 luglio del 2005 viene data notizia della fusione di Symantec e Veritas, vendor di sistemi di backup. La mossa viene vista, dalle persone informate in materia, come una misura preventiva intrapresa da Symantec allo scopo di proteggersi commercialmente, in vista dell’imminente comparsa sul mercato delle soluzioni di sicurezza prodotte da Microsoft.
Un ulteriore scandalo segna poi l’anno 2005, relativamente alla comparsa di un’ulteriore vulnerabilità individuata nelle applicazioni MS Windows. Si trattava, nella circostanza, di una vulnerabilità rilevata a livello di elaborazione del formato grafico Windows Meta Files (WMF). La situazione venne ulteriormente esacerbata per il fatto che le informazioni relative alla suddetta vulnerabilità erano state rese di pubblico dominio prima della release stessa del rispettivo aggiornamento di Windows. Gli utenti di Windows si ritrovarono, pertanto, con poca o nessuna protezione nei confronti di centinaia di programmi Trojan, i quali iniziarono immediatamente a sfruttare il bug in questione per insinuarsi all’interno dei computer-vittima. Inoltre, le informazioni relative alla scoperta di tale vulnerabilità erano di fatto giunte agli utenti proprio nella giornata del 26 dicembre, ovvero in pieno periodo di vacanze natalizie; ciò significava, in pratica, che era alquanto improbabile che Microsoft potesse reagire prontamente alla situazione. Questo fu esattamente quello che avvenne. Il 3 gennaio del 2006, dopo vari giorni di silenzio, Microsoft fece un annuncio, con il quale si affermava che il necessario update per Windows sarebbe stato rilasciato secondo il programma prestabilito, vale a dire il 10 gennaio. Il mondo della sicurezza IT letteralmente esplose; le critiche furono numerose, ed alcune di esse sfociarono nella pubblicazione di articoli in cui si attaccava Microsoft, con toni persino offensivi. Alla fine, sotto il fuoco di fila delle critiche, Microsoft rilasciò, il 16 gennaio del 2006, la patch MS06-00, la quale “fissava” la vulnerabilità individuata nel processo di elaborazione dei file WMF.