En 1989, les choses commencent réellement à bouger. Les virus Fu Manchu (une évolution de Jérusalem) et 405 (une évolution du virus écraseur de données dans le livre de Burger) sont envoyés de façon anonyme à deux chercheurs de virus anglais. Un troisième chercheur développe un virus et l'envoie à un autre homologue anglais... En 1989, tout se passe en Angleterre. Enfin..., presque tout. En 1989, les bulgares et les russes commencent à s'intéresser aux virus.

En mars 1989, un événement mineur déclenche une réaction en chaîne. Un nouveau virus voit le jour en Hollande. Un hollandais, du nom de Fred Vogel (un nom très répandu en Hollande), contacte un chercheur de virus anglais et déclare avoir détecté un virus sur son disque dur. Il l'appelle Datacrime et s'inquiète car le virus doit se déclencher le vendredi 13 du mois suivant.

Une fois le virus désassemblé, ils découvrent qu'à partir du 12 octobre, le virus exécute un formatage bas niveau du cylindre 0 du disque dur. Ce qui, sur la plupart des disques durs, détruit la table d'allocation des fichiers et provoque la perte des données. Le virus affiche son nom: Datacrime. Une description complète des effets du virus est publiée, mais Datacrime est un virus non résident et par conséquent pas susceptible de se propager facilement.

Quoi qu'il en soit, l'histoire est reprise et parfois déformée dans plusieurs magazines. Le 1er juin, ces derniers annoncent que le virus se déclenche le 12 octobre (ce qui est faux puisqu'il se déclenche à tout moment à partir du 12 octobre et jusqu'au 31 décembre) et qu'il exécute un formatage bas niveau de tout le disque dur. Aux États-Unis, la presse l'appelle 'Columbus Day virus' et émet l'hypothèse que ses auteurs sont des terroristes norvégiens qui attribuent la découverte de l'Amérique à Eric Rouge et non pas à Christophe Colomb.

Simultanément en Hollande, la police fait son travail - la prévention contre le crime. Le virus Datacrime a évidemment une action criminelle et la prévention passe par l'utilisation d'un anti-virus. Ils chargent donc un programmeur d'écrire un détecteur pour Datacrime. Ce programme est ensuite mis à la disposition du public dans les postes de police pour la somme de 1$.

Il se vend très bien, mais il génère beaucoup de fausses alarmes et doit être remplacé par une nouvelle version. Les files d'attente devant les postes de police s'allongent. Il est aujourd'hui très difficile de dire combien d'ordinateurs ont été touchés par ce virus.

Si la police prend un problème au sérieux, c'est que cela est justifié. Ainsi, dès le mois de juillet, les grands comptes hollandais commencent à questionner IBM sur le problème des virus. Datacrime n'est pas très dangereux, mais que dire de Jérusalem, Cascade ou Stoned ? Quelles sont les mesures prises par IBM?

IBM dispose d'un anti-virus spécialement développé pour un usage interne. Ils l'utilisent pour contrôler les supports introduits dans la société et pour éviter que l'incident de Lehulpe se reproduise. IBM se trouve donc devant un dilemme - s'il ne diffuse pas son anti-virus, le 13 décembre un grand nombre d'ordinateurs seront peut-être inutilisables. Les spécialistes techniques savent que la probabilité est très faible mais le risque existe. IBM doit donc prendre une décision et ce, avant la date fatidique - le 13 octobre, il sera trop tard.

En septembre 1989, IBM envoie une version 1.0 de son logiciel de prévention, accompagnée d'une lettre d'information. Lorsque vous recevez de la part d'IBM une disquette et une lettre de ce type, vous prenez la menace au sérieux. Beaucoup de grands comptes ont alors contrôlé leurs ordinateurs pour la première fois. Personne n'a trouvé Datacrime, mais quelques autres virus ont ainsi été mis en évidence.

Le 13 octobre 1988 est un vendredi et annonce un double événement - Jérusalem et Datacrime. Aux États-Unis, Datacrime (Columbus Day) a fait beaucoup de bruits pour un virus aussi peu infectieux et il est fort probable que personne n'a été touché. En Europe (et spécialement en Hollande) quelques ordinateurs ont pu être atteints.

Peu après, à Londres, l'institut Royal National pour Aveugles, annonce qu'il est infecté et déclare avoir perdu une grande quantité d'informations vitales pour la recherche, représentant des mois de travail. Nous avons étudié cet incident. Il s'est avéré que quelques programmes facilement remplaçables ont effectivement été infecté par Jérusalem. Quatre ordinateurs ont été touchés. Mais l'incident IRNA est entré dans la légende sous la forme d'un Grand Désastre. En fait, l'invasion des équipes télévisées et de la presse écrite chez l'IRNA a sûrement causé plus de dégâts que le virus lui-même.

Fin 1989, deux douzaines de virus sont connus mais nous ignorons encore que de grands événements se préparent en Bulgarie et en Russie.

A partir de 1990, la détection ne se limite plus à la recherche de deux douzaines d'octets. En partant du virus Vienna Mark Washburn crée le premier virus polymorphe. La particularité de ces nouveaux virus (1260, V2P1, V2P2, et V2P6) est qu'ils utilisent un encryptage variable. Le décrypteur, placé au début du virus, peut prendre plusieurs formes et, dans les premières versions, la seule chaîne de recherche possible ne fait que deux octets (V2P6 abaisse même cette barrière à 1 octet). Pour détecter un tel virus, il est nécessaire d'effectuer des tests logiques sur le fichier pour déterminer si l'octet examiné appartient à un décrypteur.

La première conséquence est que certains éditeurs d'anti-virus sont incapables d'appliquer cette technique. Un algorithme n'est pas facile à concevoir, et beaucoup d'éditeurs sont contraints d'utiliser des chaînes de recherche définies par d'autres. Les deux principales sources de chaînes de recherche sont les revues Virus Bulletin et IBM scanner. Mais il est impossible de détecter un virus polymorphe de cette façon (deux ans après l'apparition de ces virus, beaucoup de logiciels ne peuvent toujours pas les détecter). Washburn publie également son code source, qui est aujourd'hui largement répandu. A cette époque nous pensions que cela générerait un grand nombre d'imitations, en pratique, personne ne semble l'utiliser. Par contre, l'idée, elle, est demeurée.

L'autre conséquence des virus polymorphes est l'augmentation du nombre des fausses alarmes. Lorsque vous cherchez à détecter un virus qui prend autant de formes différentes que V2P6, vous avez de grandes chances de déclencher une alarme sur un fichier tout à fait innocent. Une fausse alerte peut être aussi perturbatrice qu'un vrai virus, dans la mesure où elle risque de déclencher une série de contre-mesures inutiles.

En 1990, un grand nombre de virus arrivent de Bulgarie, en particulier en provenance d'une personne se faisant appeler "Dark Avenger". Les virus Dark Avenger introduisent deux nouveaux concepts. Le premier est le "Fast Infector" qui, à partir du moment où le fichier est en mémoire, permet de déclencher l'infection dès qu'un fichier est ouvert. Ainsi, le disque dur entier est très rapidement infecté. Le second concept original est la subtilité des dégâts qu'il occasionne. Dark Avenger-1800 écrase occasionnellement un secteur sur le disque. Si cette activité n'est pas découverte au plus tôt, les sauvegardes sont effectuées avec des fichiers abîmés et les données sont irrémédiablement perdues. Les autres virus tels que Number of the Beast et Nomenklatura (dont l'effet est plus dévastateur que Dark Avenger) proviennent de la même source.

Dark Avenger est également plus imaginatif dans la méthode de propagation de ses virus. Il les charge sur les serveurs BBS, infectant les logiciels anti-virus du domaine public. Il ajoute même une documentation pour rassurer ceux qui contrôleraient la taille des fichiers et les checksums. Il publie aussi son code pour que d'autres apprennent comment écrire un virus.

En 1990, un autre événement se produit en Bulgarie: le premier échange de virus par BBS. L'idée est la suivante: si un virus est chargé sur un serveur, il est à la disposition de tous ceux que cela intéresse. Ceci encourage naturellement la création de nouveaux virus et leur donne un champ d'action beaucoup plus étendu. Le VX BBS donne également le code source des virus et vulgarise ainsi les techniques virales utilisées.

Whale est né au second semestre 1990. Whale est plutôt volumineux et très complexe. Il n'a pas beaucoup d'effets: généralement il bloque l'ordinateur lorsqu'il est exécuté. Cependant, il est complètement déroutant et il est arrivé dans les mains des auteurs de virus comme un casse-tête qu'il faut absolument résoudre. Bien qu'il ne fonctionne absolument pas et qu'il suffit de deux douzaines d'octets pour le détecter, certains d'entre eux ont passé des semaines à l'étudier. Mais à cause de sa taille et de sa complexité, il est devenu célèbre.