En Italie, à l'université de Turin, un programmeur écrit un autre virus de secteur d'amorce. Celui-ci affiche à l'écran une balle sautillante si l'accès au disque est effectué à exactement H heures 15. Il est connu sous les noms de virus Italian, Ping Pong ou Bouncing Ball. Mais ce virus a un défaut majeur: il ne fonctionne pas sur des processeurs autres que les 8088 ou 8086, car il utilise une interruption inexistante sur les puces plus évoluées. En définitive, ce virus a pratiquement disparu (tout comme Brain, qui n'infecte que les disquettes 360 Ko et annonce sa présence en modifiant le nom du volume infecté).

Revenons aux États-Unis, où un américain met en évidence une maladie dont souffrent encore beaucoup de concepteurs de virus - l'incompétence. Tout comme Lehigh, Yale ne s'est jamais vraiment propagé. C'est un autre virus de secteur d'amorce, mais il ne se duplique que lorsque vous démarrez à partir d'une disquette infectée puis se copie sur la nouvelle disquette que vous insérez pour continuer le processus d'amorce. Aucune autre disquette n'est infectée, et si l'amorçage se poursuit à partir du disque dur, il n'y a aucune infection. Par conséquent, Yale ne s'est jamais largement répandu.

Cependant, toujours en 1987, un programmeur allemand écrit un virus très efficace. Cascade est ainsi appelé à cause de l'affichage de caractères qu'il provoque. Cascade utilise un nouveau concept: la majorité du virus est encryptée, ne laissant en clair qu'une petite partie de code pour le décryptage.

Nous ne savons pas comment lui est venue l'idée d'utiliser un tel procédé, mais cela le rend beaucoup plus difficile à détecter, car il restreint le choix des chaînes de recherche à deux douzaines d'octets. Ce concept a ensuite été étendu par Mark Washburn avec le premier virus polymorphe: 1260 (Chameleon). Pour écrire Chameleon, Washburn s'est également inspiré du virus Vienna trouvé dans le livre publié par Burger.

Cascade est supposé éviter l'infection lorsque le BIOS contient un Copyright IBM. En fait, cette partie ne fonctionne pas. Rapidement, l'auteur développe une autre version du virus, de 1704 octets au lieu des 1701 initiaux, dans le but de corriger le bogue. Cette seconde version ne fonctionne pas plus que la première et ne détecte toujours pas les BIOS IBM.

De ces premiers virus, seuls Cascade, Stoned et Jérusalem sont encore d'actualité.

1988 est une année relativement épargnée par les nouveaux virus. C'est l'année de l'apparition des premiers anti-virus. Attirant l'attention sur ce qui n'était, à l'époque, qu'un risque potentiel, les éditeurs d'anti-virus n'ont pas vendu beaucoup de logiciels. Ces sociétés, de taille réduite, vendaient leurs logiciels pour des sommes ridicules (généralement 50 F ou 100F). Certains d'entre eux faisaient du "Shareware", d'autres du "Freeware" (Domaine public). De temps en temps, des sociétés plus importantes essayaient de s'implanter mais personne n'était alors prêt à payer le prix fort pour un problème uniquement potentiel.

En quelque sorte, ce fut un drame car 1988 a permis à des virus tels que Stoned, Cascade et Jérusalem de se répandre tranquillement.

C'est en 1988 que IBM réalise que le problème virus doit être sérieusement traité. La raison principale de cette attitude est qu'IBM découvre une variante de Cascade sur son site de Lehulpe, et est obligé d'en informer ses clients. En définitive, il n'y a pas eu de réel problème, mais à partir de cet instant, IBM décide de prendre les virus au sérieux et confie la responsabilité des recherches dans ce domaine au "High Integrity Computing Laboratory" de Yorktown.

1988 voit apparaître quelques variantes sporadiques de Brain, Italian, Stoned, Cascade et Jérusalem. 1988 est également l'année des dernières discussions visant à nier l'existence des virus. Peter Norton, lors d'un interview, déclare que les virus ne sont qu'une légende comme celle des alligators dans les égouts de New-York, et un expert Anglais affirme détenir la preuve formelle que les virus ne sont qu'un fruit de l'imagination ! 1988 est l'année des débats entre les incrédules et les experts de virus.

A cette époque, chaque virus est traité au cas par cas. Les logiciels existants sont utilisés pour détecter les virus présents sur les secteurs d'amorce (par analyse de ces secteurs) et un programme spécial est capable de détecter les variantes de Cascade et Jérusalem.

C'est également en 1988 que Virus-B voit le jour . Il ne se loge pas en mémoire et ne consiste qu'en une modification d'un autre virus qui efface les fichiers tous les vendredis 13. Quand le virus est actif, il affiche:

WARNING ! ! ! ! THIS PROGRAM IS INFECTED WITH VIRUS-B ! IT WILL INFECT EVERY .COM FILES IN THE CURRENT DIRECTORY

(Attention ! Ce programme est infecté par Virus-B ! Il infectera tous les fichiers .COM présents dans le répertoire courant)

Un virus aussi visible n'est pas écrit dans le but de se répandre. Manifestement, il est conçu dans un but démonstratif. Les chercheurs de virus reçoivent souvent de nombreuses demandes pour ce type de "démonstrations". Il semble que Virus-B est un de ceux-là - d'où le message. Nous avons même découvert qu'une société américaine le proposait aux grands comptes, aux universités ou aux laboratoires de recherche.

Fin 1988, quelques événements surviennent presque simultanément. Le premier est l'apparition de Jérusalem dans une grande institution financière. Le "grand nettoyage" mobilise des douzaines de personnes pendant plusieurs jours. Le second est le premier Séminaire Virus, réalisé par la société S&S Enterprises LtD, expliquant ce qu'est un virus et ses méthodes de fonctionnement. C'était un vendredi 13.

Naturellement, nous ne pouvions pas nous déplacer et aider tout le monde. Les institutions financières et universitaires peuvent facilement traiter une infection à condition d'avoir les outils adéquats. Tout ce dont elles avaient besoin, c'était un bon détecteur de virus.

En 1989, le premier vendredi 13 est tombé en janvier. Fin 1988, nous savions déjà que Jérusalem était au moins présent en Espagne et en Angleterre sur des sites aussi bien universitaires que commerciaux. A cause de l'effet délibérément destructif du virus, il nous a semblé nécessaire d'avertir les gens. Les médias ont saisi la balle au bond. L'annonce du jour fatal, associé à la superstition liée au vendredi 13, a stimulé leur imagination et le premier show médiatique sur les virus était en route.