1995

Con "DMV" e "Nachtwächter" compaiono i primi macrovirus. "Concept 1995" è il primo macrovirus a diffondersi pubblicamente e si propaga senza ostacoli nei sistemi operativi in lingua inglese.

Con Hunter.c compare in Germania il primo macrovirus polimorfo.

Wm.Concept è stato il primo macrovirus 'in the wild' per Word (a parte gli agenti infettanti HyperCard). Esso conteneva solo il messaggio "That's enough to prove a point." (circa: "questo basta come prova") e in poco tempo è diventato il virus più diffuso su scala mondiale. Wm.Concept ha fondato la categoria dei virus "Proof of Concept". I virus PoC dimostrano solo che è possibile sfruttare un determinato punto debole, senza però provocare veramente dei danni. La rilevazione dei macrovirus richiede notevoli sforzi ai programmi di scansione antivirus, se non altro per i formati in continua evoluzione dei linguaggi degli script e dei file di Office.

1997

I virus diventano sempre più specializzati e attaccano in modo mirato i punti deboli di programmi, sistemi operativi o hardware.

Fanno la loro comparsa i primi script mIRC che si diffondono sotto forma di worm tra gli utenti della Internet Relay Chat.

Fa la sua apparizione il primo virus per il sistema operativo Linux.

1999

A marzo il worm "Melissa" infetta nel giorno della sua comparsa centinaia di migliaia di computer e si diffonde con il vento in poppa in tutto il mondo. Melissa invia e-mail ai primi 50 indirizzi della rubrica di Outlook e i server di posta coinvolti crollano sotto il carico dei messaggi in entrata. Ad agosto David l.Smith ammette di avere scritto lui questo worm.

Happy 99 crea una copia di ogni messaggio di posta inviato dall'utente e la spedisce con lo stesso testo e oggetto, aggiungendo il worm come allegato. Questo sistema funziona anche con i post di Usenet.

A giugno ExploreZip si mimetizza come archivio autoinstallante che viene inviato come risposta ad una e-mail ricevuta. Si diffonde sulle condivisioni di rete e può infettare un computer collegato in rete solo se un altro utente della rete agisce incautamente. La funzione dannosa ricerca sul disco rigido i file di programmi in C e C++, Excel, Word e Powerpoint e li elimina. Per saperne di più...

Oltre che tramite e-mail, il virus Pretty Park si diffonde anche mediante le Internet Relay Chat (IRC). Questo worm è dotato di meccanismi di mimetizzazione e protezione molto efficaci che ne impediscono l'eliminazione. Durante la successiva scansione antivirus il worm viene riconosciuto come legittimo. A volte anche la scansione antivirus viene bloccata. Grazie a una manipolazione del registro, Pretty Park viene eseguito dai file EXE, provocando la segnalazione che tutti i file EXE sono infetti.

Per gli utenti di Outlook, a novembre si verifica con Bubbleboy la visione di "Good-Times", in cui un virus riesce a infettare un computer con la sola apertura di una e-mail (anche in modalità di anteprima). Bubbleboy sfrutta un errore nella libreria del programma.

2001

A febbraio gira un worm di posta elettronica che apparentemente contiene un allegato con una foto della tennista russa Anna Kournikova. Chi apre il messaggio installa il worm, il quale poi invia se stesso a tutti gli indirizzi della rubrica di Outlook.

Anche Naked si è diffuso per posta elettronica. Dichiara di essere un'animazione Flash di una donna nuda. Dopo l'apertura del messaggio, il virus si installa e si propaga a tutti gli indirizzi di Outlook. Poiché elimina anche le directory di Windows e del sistema, rende il computer inutilizzabile. Per usare nuovamente il PC è necessario reinstallare il sistema operativo.

A luglio Code Red sfrutta un errore di overflow del buffer nella DLL Indexing Service di Internet Information Server (IIS) di Windows NT, 2000 e XP. Il virus effettua una scansione degli indirizzi IP originali sulla porta standard per la connessione Internet e trasmette un cavallo di Troia il quale tra il 20 e il 27 di un mese avvia un attacco Denial of Service (DoS) al sito web della Casa Bianca. La rimozione del virus è molto impegnativa e divora miliardi.

A luglio tramite le reti e via Outlook Express si è diffuso SirCam, il quale ha introdotto alcune innovazioni. Ad ogni avvio, provoca l'attivazione di un file EXE. È il primo worm dotato di un proprio motore SMTP. Ma non invia solo se stesso, bensì anche file personali che trova sul computer.

Con Nimda a settembre si è diffuso un worm Internet che non necessita di alcuna interazione dell'utente. Oltre alle e-mail, utilizza per diffondersi anche le falle nella protezione dei programmi. Numerosi server Web vengono sovraccaricati e i sistemi di file infetti possono essere letti dal mondo intero.

A novembre il worm residente in memoria Badtrans sfrutta una falla nella protezione di Outlook e Outlook Express per propagarsi. Si installa come servizio, risponde alle e-mail, spia le password e registra le sequenze di tasti.

2003

A gennaio "SQL-Slammer" infetta in una sola ora almeno 75.000 server SQL e blocca Internet per ore. Sfrutta un punto debole, già noto da 6 mesi, di Microsoft SQL-Server per neutralizzare i server dei database. Poiché SQL-Slammer è composto solo da una richiesta errata e non viene caricato come file in memoria, resta sconosciuto alla maggior parte dei programmi antivirus. Le conseguenze: a Seattle si guastano i numeri di emergenza di polizia e vigili del fuoco, i bancomat della Banca d'America non funzionano, 14.000 uffici postali in Italia restano chiusi, la borsa online soffre in modo drammatico. In Corea KT Corp è rimasto a tratti temporaneamente scollegato dalla rete. Qui è crollato anche l'indice di borsa, a causa dei volumi di scambio estremamente ridotti. In Cina è stato bloccato l'intero traffico in rete con l'estero.

Ad agosto si è diffuso da solo in Internet Lovesan (alias Blaster). Utilizza una falla nella protezione, chiusa 4 settimane prima da Microsoft, nel servizio RPC/DCOM ed infetta tramite gli indirizzi IP di PC scelti a caso. In pochissimo tempo centinaia di migliaia di computer erano infettati (la stima è di 570.000). Poco dopo Welchia (alias Nachi) ha cominciato a rimuovere Lovesan/Blaster dai computer e a chiudere la falla di protezione in RPC/DCOM. A fine agosto del 2003 è stato arrestato il diciottenne Jeffrey Lee Parsons, autore di Lovesan. A marzo del 2005 è stato condannato a pagare una sanzione in denaro molto elevata, commutata con l'assenso di Microsoft in servizio sociale settimanale della durata di 3 anni.

Il worm di invio in massa di posta elettronica "Sobig.F" ha stabilito un nuovo record per la sua straordinaria velocità di propagazione. Si è diffuso in maniera 10 volte più rapida rispetto ai worm esistenti fino a quel momento.

2005

Il primo worm per gli smartphone dotati di Symbian è stato CommWarrior.A per MMS. I messaggi MMS vengono integrati con testi di accompagnamento variabili di antivirus, giochi, driver, emulatori, software 3D o immagini interessanti e inviati a tutti i nominativi della rubrica.