In diesem Jahr tauchte der Virus Vienna auf: Seine Verbreitung rund um den Globus wurde weltweit heiß diskutiert und man versuchte, den Autor zu identifizieren. Franz Swoboda entdeckte den Virus als erster. Seine Warnung zu einem sich selbst replizierenden Programm namens Charlie, die von vielen IT-Firmen weitergegeben wurde, zog auch das Interesse der Medien an. Wie man erwarten konnte, interessierten sich viele Menschen für den Autor und die Quelle der Epidemie. Dann sickerte durch, dass Swoboda den Virus von Ralf Burger erhalten hatte, der dies aber dementierte und im Gegenteil behauptete, er habe den Virus von Swoboda erhalten. Bis heute ist nicht bekannt, wer den Schädling wirklich programmiert hat.

Von dem Nebel, der den Autor von Vienna umgibt, abgesehen, war das Auftauchen des Virus auch aus einem anderen Grund interessant. Denn Rolf Burger, einer seiner potenziellen Autoren, leitete eine Kopie an Bernt Fix weiter, der den Virus neutralisieren konnte. Das war das erste Mal, dass jemand dies mit einem Virus schaffte. Daher gilt Fix als Vorläufer der modernen Antivirus-Profis, auch wenn diese heute nicht nur Viren analysieren und neutralisieren, sondern auch Module für den Schutz, die Entdeckung und Desinfizierung bereitstellen.

Burger hat aus der Arbeit von Fix Kapital geschlagen und den Code zur Neutralisierung von Vienna in seinem Buch „Das große Computer-Viren Buch“ veröffentlicht, das der Arbeit von B. Khizhnyak ähnelte. In seinem Buch erklärte Burger, wie Viren-Code modifiziert werden kann, um dessen Fähigkeit, sich zu replizieren, zu eliminieren. Allerdings wurde das Buch vor allem dafür bekannt, zu erklären, wie Viren geschrieben werden, und diente daher als Vorlage für Tausende von Viren, die vollständig oder teilweise aus den in diesem Buch vorgestellten Ideen entwickelt worden sind.

Im gleichen Jahr tauchten auch noch weitere IBM-kompatible Viren auf:

  • Der berühmte Lehigh-Virus, der nach der Universität in Pennsylvania benannt wurde, wo er entdeckt wurde; diese Universität ist ironischerweise die Alma Mater des Vaters der modernen Computervirologie.
  • Die Virenfamilie Suriv.
  • Verschiedene Boot-Sektor-Viren in mehreren Ländern: Yale in den USA, Stoned in Neuseeland, Ping Pong in Italien.
  • Der erste selbstverschlüsselnde Dateivirus Cascade.

Der Lehigh-Virus machte Geschichte, da er der erste Virus war, der Daten beschädigte: Er zerstörte Informationen auf Disketten. Glücklicherweise gab es an der Lehigh University mehrere Computerexperten, die Erfahrung mit der Analyse von Viren hatten. Dadurch verließ der Virus nie die Universität und wurde nie „in the wild“ entdeckt.

Der Lehigh-Virus startete eine zerstörerische Routine, die neben vielen wertvollen Daten schließlich auch den Virus selbst löschte. Er infizierte zuerst die command.com-Systemdateien. Wenn er vier Dateien infiziert hatte, begann er, Daten zu löschen, so dass er schließlich auch sich selbst zerstörte.

Zu dieser Zeit nahmen Anwender die Computersicherheit bereits ernster und begannen zu lernen, wie sie sich vor Viren schützen können. Vorsichtigeren Anwendern war schnell klar, die command.com-Dateigröße zu beobachten, da eine Vergrößerung der Datei ein erstes Zeichen für eine potenzielle Infizierung war.

Die Virenfamilie Suriv (lesen Sie den Namen einmal rückwärts), die von einem unbekannten israelischen Programmierer entwickelt worden war, ist ebenfalls sehr interessant. Wie auch beim Brain-Virus, ist es schwer zu sagen, ob es sich hierbei nur um ein Experiment handelte, das außer Kontrolle geriet, oder absichtlich ein Schadprogramm entwickelt worden ist. Viele Virenexperten sind davon ausgegangen, dass es sich um ein Experiment handelte. Die Entdeckung von Code-Fragmenten an der Yisrael Radai University stützte diese Annahme. Die Universität konnte zeigen, dass der Autor versuchte, den Prozess zur Installation von Dateien im EXE-Format zu ändern und die letzte Modifizierung des Virus war nur eine Debugging-Version.

Das erste Mitglied der Familie, vom Autor passenderweise Suriv-1 genannt, konnte COM-Dateien in Echtzeit infizieren. Dazu lud sich der Virus in den Computerspeicher und blieb aktiv, bis der Computer ausgeschaltet wurde. Das erlaubte ihm, die Dateioperationen zu unterbrechen und COM-Dateien sofort zu infizieren, wenn sie vom Anwender geladen wurden. Das begünstige die sekundenschnelle Verbreitung des Virus auf Wechseldatenträger.

Suriv-2 dagegen zielte auf EXE-Dateien ab. Er war faktisch der erste Virus, der in EXE-Dateien eindringen konnte. Das dritte Exemplar, Suriv-3, kombinierte Charakteristiken der ersten beiden Versionen und konnte sowohl COM- als auch EXE-Dateien infizieren.

Die vierte Modifikation des Virus, die den Namen Jerusalem erhielt, tauchte kurz darauf auf und konnte sich schnell weltweit verbreiten. Jerusalem verursachte im Jahr 1988 eine weltweite Epidemie.

Das letzte wichtige Ereignis des Jahres 1987 war das Auftauchen des verschlüsselten Cascade-Virus, der nach einem Teil seiner schädlichen Ladung benannt wurde. War der Virus einmal aktiviert, stürzten die Symbole auf dem Bildschirm nach unten in die letzte Zeile (siehe cascade.bmp). Der Virus bestand aus zwei Teilen: Dem eigentlichen Virus und einer Verschlüsselungsroutine. Diese verschlüsselte den Virus, so dass er in jeder infizierten Datei anders aussah. Nachdem die Datei geladen war, wurde die Kontrolle der Verschlüsselungsroutine übergeben, die den Virus entschlüsselte und die Kontrolle an diesen übergab.

Der Virus kann als Vorgänger polymorpher Viren angesehen werden, die keinen permanenten Programm-Code haben, ihre Funktionalität aber immer beibehalten. Doch anders als polymorphe Viren, verschlüsselte Cascade nur den Virus. Die Größe der infizierten Datei wurde als Entschlüsselungs-Key genutzt. Die Routine blieb unverändert, was modernen Antivirus-Lösungen erlaubt, den Virus ganz einfach zu entdecken.

Im Jahr 1988 verursachte Cascade im belgischen Büro von IBM einen Zwischenfall, der zu IBMs eigener Entwicklung von Antivirus-Produkten führte. Bis dahin waren alle von IBM entwickelten Antivirus-Lösungen nur für die interne Nutzung gedacht.

Später kombinierte Mark Washburn die von Ralf Burger zum Vienna-Virus veröffentlichten Informationen mit dem Konzept der Selbstverschlüsselung, wie sie von Cascade genutzt wurde, und entwickelte die erste Familie polymorpher Viren: Chameleon.

IBM-Computer waren nicht die einzigen, die angegriffen wurden: Viren wurden auch für Apple Macintosh, Commodore Amiga, Atari ST und andere geschrieben.

Im Dezember 1987 kam es zur ersten großen, lokalen Netzwerkepidemie: der Christmas-Tree-Wurm, der in REXX geschrieben war, verbreitete sich auf dem VM/CMS-9-Betriebssystem. Der Wurm wurde von einer Westdeutschen Universität am 9. Dezember über ein Portal des European Academic Research Network (EARN) auf dem Bitnet-Netzwerk losgelassen und kam dann in IBMs Vnet. Innerhalb von vier Tagen hatte der Virus das Netzwerk überschwemmt. Nach dem Laden zeigte der Virus einen Weihnachtsbaum auf dem Bildschirm an und schickte Kopien von sich selbst an alle Netzwerknutzer, deren Adressen in den NAMES- und NETLOG-Systemdateien aufgelistet waren.