En 1987 apareció el virus Viena: su creación y subsiguiente expansión por todo el mundo fueron arduamente debatidas, dado que la comunidad global trataba de descubrir la identidad del autor. Franz Swoboda fue la primera persona que detectó el virus: su alerta sobre el descubrimiento de un programa llamado Charlie que se auto reproducía fue replicada por muchas compañías de información tecnológica y eso atrajo también la atención de los medios de comunicación. Como era de esperarse, mucha gente estaba interesada en descubrir al autor y la fuente de la epidemia. Algunas versiones indicaban que Swoboda había recibido el virus de Ralf Burger, quien rechazaba por completo la historia de Swoboda y declaraba haber recibido el virus de Swoboda. Nunca se pudo revelar quién creó realmente el programa malicioso.
A pesar del misterio en torno al autor de Viena, la aparición del virus fue notable por otra razón. Uno de sus autores potenciales, Ralf Burger, envió una copia del malware a Bernt Fix quien pudo neutralizar el virus. Esta fue la primera vez que alguien fue capaz de neutralizar un virus. Debido a esto, Fix se convirtió en un precursor de los modernos antivirus, aunque hoy en día los expertos de virus no sólo analizan y neutralizan los virus, sino que también proporcionan módulos de protección, detección y desinfección.
Burger aprovechó el trabajo de Fix y publicó el código utilizado para neutralizar a Viena en su libro “Virus informáticos: La enfermedad de la alta tecnología”, similar a los escritos de B. Khizhnyak’s, “Escribiendo virus y antivirus”.
En su libro, Burger explica cómo el código de un virus puede ser modificado para eliminar su capacidad de reproducción. Sin embargo, la publicación de Burger probablemente ganó mayor popularidad porque explicaba cómo se creaban los virus, lo cual fue un gran estímulo para que miles de virus fueran desarrollados a partir de las ideas expresadas en este libro.
Ese año también aparecieron muchos otros virus compatibles con IBM, tales como:
- El famoso virus Lehigh, nombrado en honor a la Universidad de Pensilvania donde fue detectado por primera vez. Irónicamente, esta Universidad fue el alma mater del padre de la virología informática moderna
- La familia de virus Suriv;
- Varios virus que infectaban el sector de arranque: Yale en Estados Unidos, Stoned en Nueva Zelanda y Ping Pong en Italia;
- El primer virus de archivo auto-cifrado: Cascade.
Lehigh pasó a la historia por ser el primer virus capaz de causar un daño directo a los datos: el virus destruía la información de los discos. Afortunadamente, había varios expertos en computación en la Universidad de Lehigh que fueron capaces de analizar el virus y detenerlo a tiempo. Lehigh nunca fue detectado por fuera de la Universidad.
El virus Lehigh iniciaba una rutina destructiva que borraba tanto datos valiosos, como los virus mismos. Lehigh primero infectaba solamente los archivos de sistema command.com. Después de infectar cuatro archivos, comenzaba a destruir todos los datos a su alcance. Eventualmente podía destruirse a sí mismo también.
En esta época, muchos usuarios habían comenzado a tomar más en serio la seguridad informática y aprendieron a protegerse de los virus. Los más cautelosos aprendieron a monitorear el tamaño del archivo command.com. El aumento del tamaño de este archivo era una primera señal de una infección potencial.
La familia de virus Suriv (léase el nombre en sentido inverso: viruS), creada por un programador israelita no identificado, fue realmente muy interesante. Al Igual que con el virus Brain, es difícil determinar si Surviv fue sólo un experimento que se salió fuera de control o si se trató de una creación premeditada de un programador malicioso. Muchos expertos antivirus se inclinaron por la primera opción. El descubrimiento de fragmentos de código en la universidad Yisrael Radai le daba fuerzas a esta versión. La universidad demostró que el autor del virus estaba intentando cambiar el proceso para instalar los archivos en formato EXE y la última modificación del virus fue solamente una versión de eliminación de errores.
El primer miembro de esta familia de virus, bautizado Suriv-1 por su autor, era capaz de infectar los archivos de acceso COM en tiempo real. Para hacer esto, el virus se descargaba solo en la memoria de la computadora y permanecía activo hasta que el equipo se apagaba. Esto permitía que el virus interceptara operaciones con los archivos y si el usuario descargaba el archivo COM, lo infectaba inmediatamente. Tal característica facilitaba la inmediata propagación del virus a los medios de almacenamiento extraíbles.
Suriv-2, en oposición a su predecesor, tenía su blanco en los archivos de formato .EXE. Fue en todos sus intentos y propósitos el primer virus capaz de atacar este tipo de archivos.
En tanto, Suriv-3 combinaba características de la primera y la segunda versión para infectar ambos tipos de archivos: COM y EXE.
La cuarta modificación del virus, llamada Jarusalem apareció poco después y fue capaz de extenderse rápidamente por todo el mundo: Jerusalem causó una epidemia de virus mundial en 1988.
El último evento significativo en 1987 fue la aparición del virus de cifrado Cascade. Una vez que el virus se activaba, los símbolos del sistema caían como una cascada a la línea inferior. El virus constaba de dos partes – el código del virus y la rutina de cifrado. Al final, el código del virus se cifraba de forma tal que aparecía diferente en cada archivo infectado. Después de descargar el archivo, el control era transferido a la rutina de cifrado que descodificaba el cuerpo del virus y le transfería el control.
Este virus puede ser considerado como el precursor de los virus polimórficos que carecen de un código de programa permanente, pero que aún así mantienen su funcionalidad. Sin embargo, a diferencia entre Cascade y los futuros virus polimórficos, radica en que Cascade codificaba solamente el cuerpo del virus. El tamaño del archivo infectado era utilizado como una clave de descifrado. Además, la rutina de descifrado permanecía siempre igual, lo cual haría que las soluciones antivirus modernas detecten este virus con facilidad.
En 1988, Cascade causó un serio incidente en la oficina belga de IBM. Esto impulsó a la empresa a desarrollar su propio producto antivirus. Antes de este hecho, las soluciones antivirus de IBM eran solo para uso interno.
Más tarde, Mark Washburn combinó la información publicada por Ralf Burger sobre el virus Viena con el concepto de auto-cifrado utilizado en Cascade y creó la primera familia de virus polimórficos: la familia Chameleon
Los equipos IBM no eran los únicos blancos: en esos años se crearon también virus para Apple Macintosh, Commodore Amig, y Atari ST.
En diciembre de 1987 ocurrió la primer y más grande epidemia de red local: el gusano Christmas Tree, creado por REXX, se esparció en los sistemas operativos VM/CMS-9. El gusano había sido liberado en la red Bitnet el 9 de diciembre de 1987 desde una universidad de Alemania Occidental para luego alcanzar la red Vnet de IBM. Cuatro días después, (el 13 de diciembre), el virus había logrado invadir toda la red. Una vez descargado, el virus mostraba un árbol de navidad en la pantalla y enviaba copias de sí mismo a todos los usuarios de la red cuyas direcciones estuvieran en la lista de archivos del sistema NAMES y NETLOG.