Les attaques de virus sur MS Windows, MS Office et les applications de réseau se poursuivent. Les virus exploitent de nouveaux vecteurs d’infection et des technologies de plus en plus complexes. Un grand nombre de chevaux de Troie programmés pour voler des mots de passe (famille PSW) et des utilitaires d’administration à distance (porte dérobée) voient le jour. Plusieurs magazines spécialisés en informatique distribuent des disquettes infectées par CIH et Marburg, deux virus Windows. Les cd-rom distribués avec les éditions anglaises, slovènes, suisses et italiennes de PC Gamer sont infectés par Marburg. Ce virus est dissimulé dans le programme d’enregistrement électronique d’un disque interactif MGM avec le jeu Wargames PC. Le virus AutoStart est découvert à la fin du mois de septembre sur les disques qui allaient servir à distribuer Corel DRAW 8.1 pour Mac OS.
Le début de l’année est marqué par une épidémie causée par la famille de virus Win32.HLLP.DeTroi qui infecte non seulement les fichiers EXE Win32 et qui est capable en plus de transmettre à l’auteur du virus des renseignements relatifs aux machines victimes. Dans la mesure où ce virus exploite uniquement des bibliothèques systèmes utilisées dans la version française de Windows, seuls les pays francophones seront affectés.
Au mois de février, le virus Excel4Paix (ou Formula Paix) est détecté. Ce nouveau virus de macro s’installe dans les tableaux Excel à l’aide d’une zone de macros de formules capables de contenir un code auto-reproducteur. Plus tard au cours du même mois, des virus polymorphes pour Windows32 font leur apparition : Win95.HPS et Win95.Marburg. De plus, on les détecte en liberté. Les développeurs de logiciels antivirus doivent rapidement mettre au point de nouvelles méthodes de détection pour les virus polymorphes qui, jusqu’à présent, n’existaient que pour DOS.
AccesiV, le premier virus pour Microsoft Access est détecté en mars. A la différence de Word.Concept et d’Excel.Laroux, il ne suscite pas beaucoup d’émoi car la majorité des utilisateurs ont déjà accepté le fait que les applications Windows sont très vulnérables. Un autre virus, appelé Cross, fait son apparition à peu près au même moment. Il s’agit du premier virus de macro multiplateforme capable d’infecter des documents simultanément dans deux applications Microsoft Office, à savoir Word et Access. Plusieurs autres virus de macro suivent Cross et transfèrent leur code d’une application Office à une autre. Le plus remarqué d’entre eux est Triplicate (connu également sous le nom de Tristate) qui peut infecter des documents Word, Excel et PowerPoint.
Le virus Red Team devient, en mai 1998, le premier virus à infecter des fichiers EXE Windows et à se propager via le client de messagerie Eudora. Le mois de juin voit l’apparition du virus Win95.CIH qui déclenche une épidémie mondiale. Le nombre d’ordinateurs personnels et de réseaux infectés se chiffre en milliers. Cette épidémie a débuté à Taiwan où un pirate informatique inconnu a envoyé des fichiers infectés sur un serveur de listes local. Le virus a ensuite atteint les Etats-Unis et a infecté plusieurs serveurs web populaires et s’est introduit dans des programmes de jeu. Il est plus que probable que les serveurs de jeu aient été à l’origine de cette grande épidémie qui a duré toute l’année. Le virus a dépassé en popularité d’autres « vedettes » comme Word.CAP et Excel.LAROUX. La charge utile de ce virus est intéressante : en fonction du jour de l’infection, le virus peut effacer la BIOS Flash, ce qui peut entraîner le remplacement de la carte mère. Les procédures complexes de CIH ont poussé les éditeurs de logiciels antivirus à accélérer leurs efforts de développement. L’émergence de BackOrifice (ou Backdoor, BO) en août 1998 suscite la controverse. Il s’agit d’un utilitaire secret conçu pour gérer les hôtes à distance via les réseaux. NetBus et Phase, des virus similaires, font leur apparition peu de temps après.
Le premier module exécutable malicieux Java fait son apparition au mois d’août également ; Java.StrangeBrew. Ce virus n’a pas constitué une menace précise pour les internautes mais il a démontré que les applications utilisées pour voir le contenu de serveurs Web pouvaient également être touchées par des virus.
Le mois de novembre 1998 est marqué par l’évolution continue des programmes malicieux. Trois virus sont capables d’infecter les scripts Visual Basic (fichiers VBS) utilisés pour créer des pages Internet. A l’époque, Kaspersky Lab avait publié une étude en profondeur sur la menace que représentaient les virus VBS. Toutefois, de nombreux spécialistes estimèrent que les idées de Kaspersky Lab étaient alarmistes et qu’elles allaient uniquement contribuer à l’hystérie collective. Six mois plus tard, l’épidémie causée par LoveLetter donnait raison aux pronostics de Kaspersky Lab. A ce jour, ce type de virus figure parmi les virus les plus répandus et les plus dangereux.
La suite logique pour les virus VBScript fut des virus HTML complet tels que HTML.Internal. Il ne faisait plus aucun doute que les auteurs de virus concentraient de plus en plus leurs efforts sur les applications de réseau. Ils se penchaient de plus en plus sur un ver de réseau capable d’exploiter les failles de Windows et d’Office et d’infecter ainsi à distance des ordinateurs via des serveurs Web ou le courrier électronique.
PowerPoint fut la prochaine victime des virus. La première attaque est menée en décembre 1998 par Attach, un virus d’origine inconnue. Cette attaque est suivie de près par deux autres : ShapeShift et ShapeMaster, probablement toutes deux du même auteur. L’apparition de virus pour PowerPoint vient compliquer un peu plus la tâche des éditeurs de logiciels antivirus. Les fichiers de cette application Office utilise un format OLE2 qui détermine la façon dont les virus peuvent être scannés dans les fichiers DOS et XLS. Toutefois, les modules VBA dans les formats PPT sont compressés, ce qui signifie qu’il faut trouver de nouveaux algorithmes pour les décompresser et faciliter la recherche des virus. Malgré la complexité de ce qui semble être une tâche simple, la majorité des éditeurs de logiciels antivirus ont intégré à leur produit les fonctions nécessaires pour se protéger contre les virus PowerPoint.
En janvier, le magazine Virus Bulletin lance un nouveau projet : VB 100%. Ces tests réguliers de logiciels antivirus visent à déterminer si les solutions existantes sont capables de détecter tous les virus en circulation. VB 100% est considéré à l’heure actuelle comme l’un des tests indépendants les plus respectables. Le marché des logiciels antivirus a également connu de profonds changements. En mai, Symantec et IBM annoncent leur coopération pour développer un logiciel antivirus. Ce logiciel combiné devait être distribué par Symantec sous le même nom tandis que IBM Anti-Virus, le logiciel antivirus d’IBM, serait abandonné. Vers la fin du mois de septembre, Symantec annonce le rachat de LANDesk Virus Project, la division antivirus d’Intel Corporation. Deux semaines plus tard, Symantec surprend à nouveau le secteur avec une autre acquisition de 65 millions de dollars, celle de QuarterDeck. Cette société comptait dans sa gamme des logiciels comme VirusSweep.
NAI, le géant américain des logiciels antivirus, ne peut ignorer une telle tactique agressive. Il annonce le 13 août le rachat de l’un de ses principaux concurrents, la firme britannique Dr Solomon’s. Cette acquisition a été réalisée pour la somme record de 640 millions de dollars sous la forme d’un échange d’actions. Ces événements témoignent d’un véritable choc dans le secteur des logiciels antivirus. Un conflit précédent entre deux grands acteurs s’était soldé par un rachat qui avait marqué la disparition de l’un des développeurs de logiciels antivirus les plus remarquables et les plus avancés sur le plan technologique.
L’acquisition en décembre d’Eliaship, éditeur du logiciel antivirus E-Safe, est intéressante également. Elle est le fait d’Alladin Knowledge Systems, un développeur renommé d’équipements et de logiciels de sécurité informatique.
Un incident curieux se produit suite à la publication d’une alerte au virus dans l’édition du 21 décembre du New York Times. L’auteur évoque l’apparition d’un virus qui se propage via courrier électronique et qui a déjà été détecté dans certains réseaux. Il devint évident par la suite que ce virus n’était autre que Class, un virus de macro bien connu.