En 1998, los ataques a MS Windows, MS Office y a las aplicaciones de red continuaron ganando espacio, y los virus empezaron a explotar nuevos vectores infecciosos y a usar tecnologías cada vez más complejas. Apareció una vasta gama de troyanos diseñados para robar contraseñas (PSW) y utilidades de administración remota (Backdoor). Varias revistas de computación distribuían discos que estaban infectados con virus para Windows, CIH y Marburg. Para ser exactos, eran discos compactos anexados a las últimas ediciones de la revista PC Gamer en inglés, esloveno, suizo y luego italiano que contenían el virus Marburg. Este virus estaba en el programa de registro electrónico de un disco interactivo MGM con el juego Wargames PC. Al finalizar septiembre, el virus AutoStart fue descubierto en los discos que iban a ser distribuidos con el Corel DRAW 8.1 para Mac OS.
El principio del año trajo una epidemia causada por una familia completa de virus Win32.HLLP.DeTroi, que no solo infectaba los archivos Win32.EXE, sino que también era capaz de enviar información sobre los equipos infectados al autor del virus. Como el virus infectaba bibliotecas del sistema utilizadas solamente en la versión francesa de Windows, la epidemia afectó solamente a los países de habla francesa.
En febrero, se detectó el virus Excel4Paix (o Formula.Paix). Este nuevo virus de macro se instalaba en las tablas Excel, utilizando un área macro no usual de fórmulas que eran capaces de contener códigos que se reproducían por sí mismos. Más tarde, durante ese mismo mes, surgieron los virus polimorfos para Windows32: Win95.HPS y Win95.Marburg. Los fabricantes de antivirus fueron forzados a desarrollar rápidamente nuevos métodos para detectar los virus polimórficos que hasta entonces, habían sido solamente para DOS.
AccesiV, el primer virus creado para Microsoft Access, fue detectado en marzo. A diferencia de los virus Word.Concept y Excel.Laroux, AccesiV no causó mucha alarma, ya que la mayoría de los usuarios ya había llegado a aceptar que las aplicaciones Microsoft eran altamente vulnerables. Casi al mismo tiempo, apareció otro virus llamado Cross. Este era el primer virus de macro multiplataforma capaz de infectar documentos en dos aplicaciones de Microsoft Office al mismo tiempo: Word y Access. Tras la huellas de Cross aparecieron otros virus que transferían sus códigos de una aplicación de Office a otra. El más notable fue el caso de Triplicate (también conocido como Tristate) que era capaz de infectar Word, Excel y PowerPoint.
En Mayo de 1998, el virus Red Team se convirtió en el primer virus capaz de infectar los archivos Windows EXE y se distribuyó utilizando el programa de correo electrónico Eudora. Junio trajo el virus Win95.CIH, que causó una epidemia masiva a escala global, infectando miles de redes y computadoras personales. La epidemia tuvo su origen en Taiwán, donde un hacker desconocido enviaba archivos infectados a un servidor local. Desde allí el virus se esparció a los Estados Unidos donde los archivos infectados actuaron en varios servidores populares e infectaron a varios programas de juegos. Al parecer, los servidores de juegos tuvieron el papel principal en esta epidemia a gran escala que se prolongó durante todo el año. El virus sobrepasó en “popularidad” a los anteriores virus superestrellas, Word.CAP y Excel.Laroux. Lo más notable fue la forma de actuar del virus: dependiendo del día de la infección, el virus borraba el Flash BIOS, lo que en algunos casos obligaba a reemplazar la tarjeta madre. Los complejos procedimientos de CIH causaron que los antivirus aumentaran significativamente su velocidad de desarrollo.
En agosto de 1998, la aparición de BackOrifice (también conocido como Backdoor.BO) causó controversia. Este programa fue diseñado como una herramienta secreta para ser utilizada en la administración remota de equipos conectados a redes. Otros virus similares, como el NetBus y Phase, aparecieron al poco tiempo.
Agosto también vio surgir el primer módulo de Java malicioso: Java.StrangeBrew. Este virus no representó un daño significativo a los usuarios de Internet, pero sí ilustraba el hecho de que los virus también podían ser encontrados en aplicaciones activamente utilizadas en la navegación web.
En noviembre 1998, los programas maliciosos siguieron evolucionando en tres virus que infectaban los scripts de Visual Basic (archivos VBS), que fueron utilizados activamente en la creación de páginas web. En ese momento, Kaspersky Lab hizo público un profundo estudio sobre las amenazas potenciales de los virus VBS. Sin embargo, muchos especialistas se apresuraron a etiquetar a la compañía como una incitadora al pánico y criticaron el estudio por provocar histeria sobre los virus. Medio año después, cuando se desató la epidemia de LoveLetter, quedó claro que el pronóstico de Kaspersky era completamente acertado. Hasta el día de hoy, este tipo de virus se mantiene en el primer lugar de la lista de los virus más difundidos y peligrosos.
La culminación lógica de los virus VBScript fue la creación de virus escritos completamente en HTML. Para entonces, comenzó a hacerse más evidente que los esfuerzos de los desarrolladores de virus se empezaban a focalizar en las aplicaciones de redes. Los hackers habían empezado a crear gusanos de red que atacaban MS Windows y Office, además de infectar equipos remotos a través de servidores Web o vía correo electrónico.
Dentro de las aplicaciones MS Office, la siguiente víctima fue PowerPoint. En Diciembre de 1990, un virus de origen desconocido, llamado Attach, fue el primero en atacar. Casi inmediatamente seguido a éste, dos virus más que al parecer eran del mismo autor, ShapeShift y ShapeMaster, también atacaron PowerPoint. La aparición de los virus en PowerPoint causó otro gran dolor de cabeza a los vendedores de antivirus. Los archivos de esta aplicación utilizaban el módulo OLE2 para encontrar los archivos .doc y .xls. Sin embargo, los módulos VBA en el formato .ppt se guardaban en formato comprimido, lo que quiere decir que era necesario diseñar nuevos algoritmos para descomprimirlos y facilitar las búsquedas del antivirus. A pesar de la complejidad de esta tarea, casi todas las compañías antivirus lograron integrar en sus productos la funcionalidad necesaria para defenderse contra los virus de PowerPoint.
En enero, la revista Virus Bulletin inició un nuevo proyecto: VB100%. Esta prueba regular de los productos antivirus estaba diseñada para determinar si las soluciones podían detectar el 100% de virus en condiciones reales. VB100% es actualmente considerado como uno de los analistas independientes más respetados.
A su vez, en 1998 el mercado antivirus sufrió varios cambios. En Mayo, Symantec e IBM anunciaron que unificarían esfuerzos para desarrollar un producto antivirus. El producto iba a ser distribuido por Symantec bajo el mismo nombre, mientras que el antivirus de IBM dejaría de existir. Hacia fines de septiembre, Symantec anunció la compra del departamento antivirus de Intel Corporation, llamado LANDesk Virus Protect. Sólo dos semanas después, Symantec sorprendió a la industria al comprar QuarterDeck por $65 millones. La cifra de compra de la compañía incluía productos antivirus tales como ViruSweep.
Estas agresivas tácticas no pasaron inadvertidas por el gigante antivirus americano NAI, que el 13 de agosto anunció de 1998 la compra de uno de sus principales competidores, la compañía inglesa, Dr. Solomon. Estos acontecimientos provocaron un verdadero revuelo en la industria antivirus. El conflicto previo entre estos dos grandes jugadores de la industria había terminado en un tratado de compra-venta que dio como resultado la desaparición de uno de los desarrolladores de software antivirus más notables y tecnológicamente más fuertes del mundo.
Fue también interesante la compra de EliShim, que habían desarrollado el producto antivirus E-Safe, por Alladdin Knowledge Systems, un conocido fabricante de equipos y software de seguridad informática.
Un incidente curioso ocurrió con una advertencia sobre virus informáticos publicada en la edición del New York Times del 21 de diciembre. El autor advertía a los usuarios sobre la aparición de un virus que se esparcía vía correo electrónico y que ya había sido detectado en algunas redes. Luego se descubrió que este temible virus no era otro que el ya bien conocido virus de macro: Class.