Deux virus intéressants marquent le début de l’année 1996. Boza, le premier virus écrit pour Windows 95 et Zhengxi, un virus polymorphe programmé par Denis Petrowym, un programmeur de Saint-Pétersbourg.
Win.Tentacle entraîne en mars 1996 la première épidémie pour Windows 3.x. Ce virus infectera le réseau informatique d’un hôpital et de plusieurs autres organisations en France. Ce virus est le premier virus Windows détecté dans la nature. Jusqu’alors, la majorité des virus Windows se trouvaient dans des collections ou dans les journaux électroniques destinés aux auteurs de virus. Avant Win.Tentacle, seuls les virus de secteur d’amorçage, les virus DOS et les virus de macros existaient dans la nature.
Le virus OS2.AEP fait son apparition en 1996. Il s’agit du premier virus capable d’infecter les fichiers OS/2 EXE. Ses prédécesseurs s’écrivaient à l’emplacement du fichier, détruisaient le fichier ou exploitaient la technique du virus compagnon.
Laroux, le premier virus pour Microsoft Excel, est détecté, presque simultanément, en juillet 1996 dans le réseau de deux compagnies de forage pétrolier situées respectivement en Alaska et en Afrique du Sud. A l’instar des virus pour MS Word, la charge utile de Laroux repose sur les macros, ces petits programmes écrits en Visual Basic. Ces programmes pouvaient infectés les tableaux Excel tout comme ils pouvaient infecter les documents MS Word. Visual Basic pour Excel permettait également de créer des virus. C’est ce virus qui fut à l’origine d’une épidémie dans de nombreuses entreprises à Moscou au mois d’avril 1997.
A la fin de l’été, Nightmare Joker et Wild Work lancent, presque simultanément, deux logiciels de création de virus de macro : Word Macro Virus Construction Kit et Macro Virus Development Kit. Ces deux programmes tournent sous les versions anglaises et allemandes de MS Word.
Au milieu du mois d’octobre, Microsoft est touchée par un autre incident causé par un virus. Le virus Wazzu est décelé dans un document Word hébergé sur le site d’assistance technique des produits Microsoft pour la Suisse. Le même virus sera découvert plus tard sur un cd-rom distribué par la société lors du salon informatique Orbit organisé à Bâle. Le virus Wazzu va continuer à suivre Microsoft. Ainsi, en septembre, le virus atterrit sur les cd-rom Microsoft Solution Provider. Le premier virus résident pour Windows 95 apparaît en décembre 1996. Il se charge dans le système comme un pilote VxD, intercepte les requêtes et les infecte.
L’année 1996 peut être considérée comme le début des hostilités lancées par la communauté informatique clandestine contre les systèmes d’exploitation Windows 95 et Windows NT ainsi que contre d’autres applications comme Microsoft Office. Des dizaines de virus pour Windows 95/NT et des centaines de virus de macro font leur apparition entre 1996 et 1997. Parmi tous ces virus, nombreux sont ceux qui utilisent des techniques inconnues jusqu’alors et des méthodes innovantes comme le polymorphisme et la furtivité. Les virus informatiques franchissent une nouvelle étape dans leur évolution et ciblent les systèmes d’exploitation 32 bit. Il reste toutefois fidèle à l’évolution suivie par les virus DOS dix ans plus tôt. Le monde des logiciels antivirus est également profondément modifié. Vers la fin de l’année, Computer Associate rachète Cheyenne Software, auteur du logiciel InocuLAN.