Las tendencias de la segunda mitad de 2004 continuaron durante 2005 y 2006. A pesar de que no hubo incidentes graves relacionados con troyanos, éstos se duplicaron y sus métodos de transmisión se hicieron mucho más diversos. Además de la difusión por los medios habituales (email), los troyanos empezaron a propagarse a través de busquedas de Internet, sitios web y gusanos de red. Al mismo tiempo, los gusanos de red se volvieron cada vez más populares –lograron filtrarse en los equipos a través de diferentes tipos de “agujeros” de software, tales como Mytob y Zotob (Bozori)-. Los autores de estas amenazas fueron detenidos en agosto de 2005.
Algo extraño les sucedió a estos gusanos. Se las arreglaron para entrar en las redes de varios medios estadounidenses de gran envergadura (ABC, CNN y The New York Times) y lograron paralizar sus operaciones. El descubrimiento de que estos gusanos habían invadido sus redes llevó a las empresas a responder histéricamente a los ataques. Se publicaron titulares que sólo se esperarían ver durante un brote mundial de virus cuyos efectos podrían ser comparados con las epidemias de gusanos de red de 2003-2004.
Los virus y troyanos para plataformas móviles continuaron apareciendo, especialmente los destinados para el sistema operativo Symbian. Aparte del método más habitual de propagación (Bluetooth), también fueron explotados nuevos métodos. El 10 de enero apareció Lasco. Este fue el primer virus que no sólo se replicaba a sí mismo en otro teléfono, sino que también infectaba los archivos ejecutables de Symbian. El 4 de marzo, hizo su aparición Comwar. Este virus se enviaba a través de MMS a toda la lista de contactos del usuario (tal y como los hacían los gusanos de primera generación). El 13 de septiembre Cardtrap entró en escena. Se trataba de un troyano que instalaba archivos maliciosos de Windows a través de una infección multiplataforma.
En Octubre y Noviembre se produjo un enorme escándalo por el descubrimiento de las tecnologías de los troyanos rootkit en los discos compactos de Sony BMG. Estas tecnologías eran utilizadas para proteger los CDs de las copias ilegales. Sin embargo, también podían ser usadas para fines delictivos, y eso fue lo que pasó casi inmediatamente después: el 10 de noviembre, se descubrió el primer troyano backdoor capaz de explotar esta vulnerabilidad.
En 2005, la industria antivirus también estaba experimentando un cambio masivo. Microsoft quería entrar en el mercado de software antivirus y para ello adquirió dos compañías antivirus casi simultáneamente. El 8 de febrero de 2005 Microsoft compró Sybari, una empresa especializada en tecnologías de protección para el email de Microsoft Exchange. Luego, el 20 de julio, adquirió FrontBridge Technologies, un desarrollador de tecnologías de filtración de tráfico de red. Esta política de compra ya había comenzado con la adquisición del antivirus RAV en 2003 y de GIANT Anti-Spyware en 2004.
El 5 de julio de 2005, se anunció la fusión de Symantec y Veritas, un proveedor de sistemas de copia de seguridad. La medida fue considerada por muchos como una movida de Symantec para protegerse comercialmente contra las soluciones de Microsoft que acababan de salir al mercado.
Un escándalo adicional apareció en 2005 en relación con una vulnerabilidad encontrada en las aplicaciones de Windows. Esta vez se trataba de una vulnerabilidad de procesamiento en un Archivo Windows Meta File (WMF). La situación se agravó aún más por el hecho de que la información sobre la vulnerabilidad se publicó antes del lanzamiento de la actualización de Windows correspondiente. Como consecuencia, los usuarios de Windows se encontraron sin ninguna protección frente a cientos de troyanos que inmediatamente comenzaron a explotar esta falla con el fin de penetrar en los equipos. De hecho, la información sobre la existencia de la vulnerabilidad llegó el 26 de diciembre -durante el período de vacaciones de Navidad-, lo que significaba que era muy poco probable que Microsoft reaccionara con prontitud ante el problema. Naturalmente, esto fue exactamente lo que sucedió, el 3 de enero de 2006 después de varios días de silencio, Microsoft anunció que la actualización de Windows sería lanzada según el ‘calendario aprobado’ recién el 10 de enero. El mundo de la seguridad IT explotó con numerosos críticos enojados que escribieron varios artículos ofensivos contra Microsoft. Al final, bajo un aluvión constante de críticas, Microsoft cedió y emitió el parche MS06-00 el 16 de enero de 2006, que arregló las vulnerabilidades de procesamiento de WMF.