1990 dio a luz a varios avances importantes en la creación de virus. Los escritores de virus desarrollaron nuevas herramientas y crearon grandes comunidades para compartir información.
Para empezar, los primeros virus polimórficos aparecieron en 1990: la familia de Chameleon (1260, V2P1, V2P2 y V2P6), que fue la evolución de dos virus anteriores, Vienna y Cascade. El autor de Chameleon, Mark Washburn, usó el libro de Burger sobre Vienna para desarrollar su virus y luego le añadió las características de auto-codificación presentes en Cascade. A diferencia de Cascade, Chameleon no sólo estaba cifrado, sino que también el código del virus mutaba con cada infección. Esta característica hizo que los antivirus contemporáneos fueran completamente inútiles.
Hasta ese momento, los programas antivirus basaban sus detecciones en una búsqueda en contexto ordinario, localizando porciones de código de virus conocidos.
Como Chameleon no tenía un código permanente, se tuvieron que desarrollar programas antivirus capaces de combatir este nuevo tipo de amenazas. Poco después, los expertos de seguridad inventaron algoritmos especiales para identificar los virus polimórficos.
En 1992, Eugene Kaspersky desarrolló un método aún más eficaz para neutralizar los virus polimórficos: un emulador de procesos para descifrar códigos. Hoy en día, esta tecnología es un atributo esencial de todos los programas antivirus.
El segundo hito importante fue la aparición de la Bulgarian Virus Producing Factory. A lo largo de 1990 y durante varios años después, se detectó un gran número de virus de origen búlgaro. Entre ellos, familias enteras de virus tales como Murphy, Nomenclatura, Beast (conocido también como 512 o Number of Beast), nuevas modificaciones de Eddie y muchos más.
Un creador de virus llamado Dark Avenger estuvo particularmente activo en esta época: lanzaba varios virus al año, y cada amenaza incorporaba nuevas técnicas de infección y de ocultamiento. Fue Dark Avenger el primero en utilizar una técnica que consistía en que cuando el virus era detectado, infectaba automáticamente todos los archivos de la computadora, aun cuando estos archivos fueran abiertos sólo para lectura. Dark Avenger demostró habilidades excepcionales, no sólo en la creación de virus, sino también en la difusión de ellos. Cargó activamente programas infectados en BBS, distribuyó códigos fuente para sus virus y abogó por la creación de nuevos programas maliciosos en todas formas posibles.
Se cree que también fue Dark Avenger quién estableció en Bulgaria la primera BBS (VX BBS) que ofrecía un foro para el intercambio abierto de virus y grandes cantidades de información para los creadores de amenazas. La filosofía de BBS era simple: si un usuario enviaba un virus, podía descargar un virus del catálogo de BBS. Si el usuario enviaba un virus nuevo e interesante, entonces obtenía acceso irrestricto a todos los recursos de BBS y podía descargar una cantidad ilimitada de virus de la colección.
No es necesario mencionar el poderoso efecto que tuvo VX BBS en el desarrollo de los virus, sobre todo si tenemos en cuenta que estaba abierta no sólo para Bulgaria, sino para todo el mundo.
En julio de 1990, ocurrió un serio incidente con la revista inglesa PC Today. Cada edición de la revista contenía un disquete gratuito, que en esa edición resultó infectado con el virus DiskKiller. Se vendieron más de 50.000 copias de la revista. La epidemia que provocó la revista hizo historia.
Dos virus invisibles aparecieron en la segunda mitad de 1990: Frodo y Whale. Ambos usaban un algoritmo de increíble complejidad para camuflarse en el sistema. Whale, de sólo 9 Kb, empleaba además varios niveles de cifrado y un montón de técnicas para evitar errores.
También hicieron su aparición los primeros virus de origen ruso: Peterburg, Voronezh y LoveChild.
En diciembre de 1990, el instituto EICAR (European Institute for Computer Antivirus Research) se estableció en Hamburgo, Alemania. Hoy en día, EICAR es considerado uno de las organizaciones internacionales más importantes en la formación de profesionales de seguridad.