L’année débute de manière inattendue pour les utilisateurs de Windows 2000 et de Visio, un logiciel très utilisé pour la création de diagrammes et d’organigrammes. Microsoft vient à peine d’annoncer la sortie d’une version commerciale entièrement fonctionnelle de son système d’exploitation et voilà que les membres du groupe clandestin 29A lance Inta. Inta est le premier virus qui infectera des fichiers Windows 2000. Peu de temps après, deux virus apparaissent presque simultanément, Unstable et Radiant, et marque la fin de Visio. Cette incident inspirera une blague douteuse : les virus ont été lancés par Microsoft qui, peu de temps après Unstable et Radiant, avait acheté Visio Corporation.
Le mois d’avril voit l’apparition du premier virus de macro d’origine russe pour MS Word. Proverb est détecté au 10, Downing Street, le bureau du premier ministre britannique. On peut uniquement espérer que les autorités anglaises ont suivi le conseil du proverbe russe : « Ne remettez pas à demain ce que vous pouvez boire aujourd’hui. »
Le virus LoveLetter entre dans le livre Guiness des records le 5 mai. Tout se passe exactement comme l’avait prédit Eugène Kaspersky en novembre 1998. Les utilisateurs naïfs ne pouvaient pas imaginer que des fichiers VBS et TXT anodins puissent contenir un virus dangereux. Une fois chargé, ce virus détruit toute une série de fichiers et s’envoie à toutes les adresses reprises dans le carnet d’adresse de MS Outlook. La transparence du code source va permettre l’apparition de nouvelles modifications du virus tout au long de l’année. Actuellement, on compte environ plus de 90 versions en circulation.
Le virus Timofonica est détecté le 6 juin. Il s’agit du premier virus qui utilise, d’une manière réduite, les téléphones mobiles. En plus de la propagation par courrier électronique, ce virus envoie des messages vers des numéros aléatoires appartenant au réseau MoviStar, propriété de Telefonica, le géant mondial des télécommunications. Le virus n’a aucun autre effet sur les téléphones mobiles, malgré le fait que les journalistes n’hésitèrent pas à qualifier Timifonica de premier virus pour téléphone mobile.
L’été 2000 fut chaud, surtout au niveau des virus pour téléphones mobiles. Alors que cette période est d’habitude une période de repos aussi bien pour les auteurs de virus que pour les experts de la lutte antivirus, ces derniers furent surpris par les premiers. En juillet, un groupe, qui se présente sous le nom du Cult of Death Cow, produit une nouvelle version du virus Back Orifice (BO2K). Cet événement se produit lors de la conférence DevCon (une conférence de développeurs Microsoft) et entraîne une pluie de messages adressés par des utilisateurs effrayés aux éditeurs de logiciels antivirus. En réalité, cette nouvelle version n’est pas beaucoup plus dangereuse que son prédécesseur et elle est rapidement ajoutée aux bases antivirus des éditeurs. La principale caractéristique de BO2K est son décalage vers les utilitaires licites d’administration à distance : le programme est visible au moment de l’installation. Cela ne l’empêche pas d’être utilisé à des fins illicites et c’est pourquoi il est classé dans la catégorie Backdoor.Trojan.
Trois virus extrêmement intéressants font leur apparition au mois de juillet. Star est le premier virus programmé pour les suites AutoCad. Dilber, quant à lui, se distingue par le fait qu’il contient le code de cinq autres virus dont CIH, SK et Bolzano. Dilber active l’un de ses composants en fonction de la date, ce qui lui a valu le surnom de virus navette. Le troisième parmi ces virus est un ver Internet appelé Jer. Sa méthode d’infection est assez maladroite. Les scripts (le corps du ver) sont téléchargés sur un site où ils sont activés automatiquement lorsque la page HTML correspondante est ouverte. Ensuite, l’utilisateur reçoit un avertissement signalant qu’un objet non identifié a été découvert sur le disque. C’est un risque calculé qui repose sur l’erreur humaine : l’auteur du virus espère que l’utilisateur ne cliquera pas mégarde sur » oui » pour se débarrasser du script. L’apparition de ce ver confirme la nouvelle tendance de propagation des virus via Internet. Tout d’abord, le ver est placé sur un site Web. Ensuite, une campagne marketing de masse est organisée pour attirer les utilisateurs. Le risque calculé paie : sur chaque millier d’utilisateurs, quelques dizaines vont laisser entrer le virus.
Le virus Liberty est découvert en août. Il s’agit du premier cheval de Troie nuisible qui touche le système d’exploitation PalmOS du Palm Pilot. Au moment de son installation, Liberty supprime les fichiers mais est incapable de se reproduire. En septembre, cette nouvelle famille de programmes nuisibles s’agrandit avec l’arrivée de Phage, le premier véritable virus pour PalmOS. Il s’agit d’un virus classique qui après l’installation infecte et supprime les fichiers et enregistre son propre code.
Le début du mois de septembre voit l’apparition de Stream, un virus informatique capable de manipuler l’ADS des systèmes de fichier NTFS. Ce virus ne présente pas de danger précis. Par contre, la technologie utilisée pour accéder à l’ADS est plus inquiétante car à ce moment, aucun logiciel antivirus n’est en mesure d’analyser cet emplacement. Malheureusement, le virus suscite une faible réaction chez les plus grands éditeurs de logiciels antivirus qui accusent Kaspersky Lab de semer la panique. Malgré ces accusations, aucun des adversaires n’est capable d’avancer des arguments concrets pour confirmer leur théorie sur la sûreté de l’ADS dans NTFS. La protection antivirus de NTFS demeure à ce jour un problème vital car seule une poignées de scanneurs antivirus ont appris à rechercher des virus dans l’ADS.
Le mois d’octobre est le témoin de la naissance du premier virus pour les fichiers PIF (Fable) et du premier virus écrit en PHP (Pirus). A ce jour, ces deux virus n’ont pas encore été découverts « dans la nature ». Un scandale impliquant les systèmes internes de Microsoft éclate presqu’en même temps : un groupe de pirates informatiques inconnus de Saint-Pétersbourg ont réussi à pénétrer dans les systèmes internes de Microsoft et à les laisser ouverts pendant plusieurs mois. Pour ce faire, ils ont exploité une simple faille à l’aide d’un ver de réseau appelé QAZ. L’aspect le plus curieux de cet incident tient au fait qu’au moment de la découverte de l’attaque, le ver responsable était déjà repris dans presque toutes les bases antivirus. Cela a donné une mauvaise impression de la compétence du personnel de Microsoft, voire démontré leurs mauvaises intention. Quoi qu’il en soit, au moment d’écrire ces lignes, les responsables n’ont pas encore été localisés.
Un événement remarquable se produit en novembre. Kaspersky Labs, devenu l’un des principaux acteurs sur la scène des technologies antivirus en trois années seulement, change le nom de son produit phare. AntiViral ToolkitPro (AVP) devient Kaspersky Anti-Virus et change de logo.
Au cours du même mois, Hybris, un virus dangereux à technologie complexe, est détecté. Ce virus a été créé par Vecna, un auteur de virus brésilien. Il s’agit en fait d’un développement plus poussé de Babylonia, son premier virus à rajeunissement automatique. La principale innovation repose sur l’utilisation de sites Internet et de serveurs de listes (alt.comp.virus en particulier) pour charger de nouveaux modules du virus qui a infecté les ordinateurs. Comme il était facile de fermer un serveur Web, les serveurs de liste, plus compliqués à désactiver, devinrent une alternative idéale pour la propagation. De plus, Hybris utilise un clé RSA à 128 bits pour identifier les modules vraiment programmés par l’auteur.
En général, on peut affirmer que 2000 est l’année où le courrier électronique a une fois de plus démontrer qu’il était le meilleur vecteur de propagation des virus. Selon les statistiques du service d’assistance technique de Kaspersky Lab, environ 85% de toutes les infections enregistrées se sont produites par courrier électronique. L’année 2000 est également marquée par l’activité dans les rangs des auteurs de virus pour Linux. Ainsi, 37 nouveaux virus et chevaux de Troie enregistrés ont été créés pour le système d’exploitation Linux. Ainsi, la quantité globale de virus pour Linux atteint 43, soit un volume multiplié par 7, rien qu’en 2000. Enfin, on observe également une modification au niveau des virus les plus répandus. Jusqu’alors, les virus de macro avaient été les plus communs mais après 2000, la place est prise par les virus de script.