En 1991, le phénomène virus est suffisamment intéressant pour attirer des éditeurs de logiciels renommés. En décembre, Symantec lance Norton Anti-Virus, en avril c'est le tour de Central Point Software avec CPAV. Ils sont rapidement suivis par Xtree, Fifth Generation et quelques autres. La plupart de ces sociétés, reprennent des programmes existants (le plus souvent israéliens). En 1991, se pose également le problème de "l'invasion". En décembre 1990, il n'existe que 200-300 virus, en décembre 1991, nous en dénombrons 1000 (ce chiffre est sûrement sous-estimé car en février il passe subitement à 1300).

L'invasion des virus pose plusieurs problèmes sérieux. Chaque programme a ses propres limitations. Un détecteur de virus doit garder ses chaînes de recherche en mémoire et le DOS ne gère que 640 Ko (DOS associé au shell réseau et à l'interface utilisateur peut prendre plus de la moitié de cette place).

Quelques détecteurs de virus sont plus lent en fonction du nombre de virus qu'ils peuvent détecter.Le nombre croissant des virus leur pose donc de sérieux problèmes. Pour détecter un virus de façon sûre, le réparer et connaître ses effets, vous devez l'analyser. Si un chercheur met une journée pour désassembler un virus, il ne pourra en étudier que 250 par an. Si ce travail ne lui prend qu'une heure, le chiffre passe à 200. Cependant quel que soit le temps passé, l'analyse d'un nombre croissant de virus nécessite de plus en plus de ressources.

Dans le phénomène "invasion", beaucoup de virus présentent de grandes similitudes, ce qui génère un risque d'erreur d'identification et par conséquent de réparation. Très peu de détecteurs réalisent une identification complète du virus. Les confusions sont très fréquentes.

La plupart des virus viennent de l'Europe de L'Est et de la Russie. Mais les échanges de virus par BBS sont une autre source de prolifération.

La Bulgarie est la première à utiliser les VX BBS, mais elle est rapidement suivie par d'autres pays. Chaque pays a le sien: l'Allemagne dispose de Gonorrha, la Suisse de Demoralised Youth, l'Amérique de Hellpit, la Grande-Bretagne de Dead On Arrival et de Semaij. Certains disparaissent peu après leur mise en service, mais le "Italian Virus Research Laboratory" abrite, par exemple, "Cracker Jack" qui charge ses virus (versions plagiées des virus bulgares). La plupart d'entre eux ont aujourd'hui disparu ou fonctionnent dans la clandestinité, mais tous ces serveurs ont certainement facilité "l'invasion". Avec un VX BBS, un auteur de virus n'a qu'à télécharger un code source puis faire quelques modifications pour créer un nouveau virus et le mettre en circulation.

1991 est aussi l'année de l'expansion des virus polymorphes. 1260 et la famille des V2 écrit par Washburn existent déjà depuis longtemps, mais ils sont basés sur Vienna et ne sont pas assez infectieux pour se répandre. En avril 1991, Tequila traverse le monde micro-informatique comme une comète. Il vient de Suisse et n'a pas été conçu expressément pour se répandre. En fait, il a été volé à son auteur par un de ses amis qui l'a introduit sur les masters de son père. Ce dernier distribuait des logiciels Shareware, ce qui a grandement facilité la diffusion de Tequila.

Tequila se dissimule parfaitement lorsqu'il est installé sur le secteur de partition. Il est partiellement furtif lorsqu'il infecte un fichier. Il est par contre tellement polymorphe qu'il est impossible de définir une chaîne de recherche même en utilisant des caractères génériques. Tequila est le premier virus polymorphe à se répandre. En mai, quelques détecteurs arrivent à le reconnaître de façon sûre. Ce n'est qu'en septembre que tous les logiciels en seront capables. Si vous ne détectez que, par exemple, 99% des fichiers infectés, le remède peut être pire que le mal. A partir des 1% restants, le virus démarre une nouvelle infection qui doit être traitée à nouveau. Ce deuxième traitement laisse encore 1% de fichiers infectés qui viennent s'ajouter aux premiers (toujours pas détectés). Et ainsi de suite jusqu'à ce que le disque ne contienne que des fichiers infectés non détectables.

En septembre 1991, Maltese Amoeba, un autre virus polymorphe, se répand à travers l'Europe. Avant la fin de l'année, il existe quelques douzaines de virus polymorphes. Ils sont tous classés dans les virus "difficiles", c'est-à-dire qu'ils nécessitent beaucoup plus de quelques heures pour être analysés. De plus, la plupart des produits anti-virus doivent être reconçus pour pouvoir détecter ces virus, ce qui implique du développement, de la mise au point, des tests et des contrôles de qualité. En outre, contrairement aux autres virus, un virus polymorphe peut ralentir le logiciel de détection.

C'est aussi en 1991 que Dark Avenger annonce le premier virus autotransformable pouvant prendre 4 millions de formes différentes. En janvier 1992, sa menace se concrétise, mais pas vraiment sous la forme d'un virus.

En janvier 1992, Dark Avenger sort le Self Engine (MtE). A première vue, nous ne voyons qu'un virus appelé Dedicated, mais nous découvrons rapidement le MtE. Il a la forme d'un fichier objet, associé au code source d'un simple virus et aux instructions nécessaires pour créer un vrai virus polymorphe. Les chercheurs commencent immédiatement à travailler sur un détecteur. La plupart des éditeurs le font en deux temps. Les premiers logiciels ne détectent que 90 à 99% des versions générées et sont rapidement commercialisés. Ce n'est que dans un deuxième temps qu'apparaissent les programmes fonctionnant avec un taux de réussite de 100%. Dès le début, beaucoup d'auteurs de virus sont tentés d'utiliser le MtE car il est simple à mettre en œuvre. En fin de compte, ils comprennent rapidement qu'il suffit de savoir détecter un virus généré par MtE pour étendre cette technique à tous les autres.

Après MtE, Avenger développe Commander Bomber. Avant l'arrivée de CB, il était facile de prévoir l'emplacement du virus dans un fichier. Beaucoup de détecteurs se basaient sur cette quasi certitude et ne vérifiaient qu'une partie des fichiers. Dorénavant, Bomber oblige les produits à contrôler l'ensemble du code des fichiers ou à utiliser d'autres techniques de localisation des virus.

Un autre virus polymorphe arrive également à cette époque: Starship. Il essaie d'échapper aux détecteurs en compliquant le travail de désassemblage. Il échappe également aux checksummers grâce à une astuce très simple. Les checksummers se basent sur le fait qu'un virus modifie le code des programmes. Starship infecte donc les fichiers lorsqu'ils sont copiés du disque dur vers une disquette. Le contenu du disque dur ne change jamais, mais la copie du fichier sur la disquette est infectée. Lorsque Ensuite ce fichier infecté est placé sur un disque dur, le checksummers ne détecte aucune modification. Starship s'installe également sur le disque dur mais sans aucune modification de fichier exécutable. Il remplace et déplace simplement le secteur de partition. La nouvelle partition contenant le virus est exécutée avant de passer le contrôle au programme de partition original.