Virus-Angriffe auf Windows, Microsoft Office und Netzwerk-Anwendungen gingen unvermindert weiter und nutzten immer komplexere Technologien. Eine große Vielfalt von Trojanern zum Diebstahl von Passwörtern (PSW-Familie) sowie Remote-Administrations-Utilities (Backdoor) tauchten auf. Mehrere Computermagazine verteilten Datenträger, die mit den Windows-Viren CIH und Marburg infiziert waren. Vor allem CDs der englischen, slowenischen, schweizerischen und italienischen Ausgaben von PC Gamer enthielten den Marburg-Virus, der auch im elektronischen Registrierungsprogramm einer MGM Interactive Disc mit dem Spiel Wargames (PC) enthalten war. Ende September wurde der AutoStart-Virus auf Datenträgern entdeckt, die mit Corel DRAW 8.1 for Mac OS ausgeliefert werden sollten.
Anfang des Jahres kam eine weitere Epidemie, die durch die Virusfamilie Win32.HLLP.DeTroi ausgelöst wurde, die nicht nur Win32-EXE-Dateien infizierte, sondern auch Informationen von den Opfercomputern an die Täter übertragen konnte. Da der Virus System-Libraries ausnutzte, die nur in der französischen Windows-Version verwendet wurden, bleib die Epidemie auf Französisch sprechende Länder beschränkt.
Im Februar wurde der Virus Excel4Paix (oder Formula.Paix) entdeckt. Dieser neue Macro-Virus installierte sich selbst in Excel-Tabellen, indem er ungewöhnliche Macro-Formeln nutzte, die selbstreplizierenden Code enthalten konnten. Später im gleichen Monat tauchten polymorphe Windows32-Viren auf: Win95.HPS und Win95.Marburg, die auch „in the wild“ entdeckt wurden. Antivirus-Hersteller musten schnellstmöglich neue Methoden zur Entdeckung dieser polymorphen Viren entwickeln, die bis dahin nur unter DOS zu finden waren.
AccesiV, der erste Virus für Microsoft Access, wurde im März entdeckt. Anders als die früheren Word.Concept- und Excel.Laroux-Viren, verursachte er keine große Aufregung, da die meisten Anwender bereits akzeptiert hatten, dass Microsoft-Anwendungen sehr angreifbar waren. Ungefähr zur gleichen Zeit tauchte mit Cross ein weiterer Virus auf, der als erster Multi-Plattform-Macro-Virus gilt, der gleichzeitig Dokumente in Microsoft Word und Microsoft Access infzieren konnte. Ihm auf dem Fuße folgten mehrere andere Macro-Viren, die Code von einer Office-Anwendung in eine andere transferieren konnten. Einer der bekanntesten davon war Triplicate (auch bekannt als Tristate), der Word, Excel und PowerPoint infizieren konnte.
Im Mai wurde Red Team zum ersten Virus, der Windows-EXE-Dateien befiel und sich selbst über das Mailprogramm Eudora verbreitete. Der Juni brachte den Win95.CIH-Virus, der eine massive, später globale Epidemie auslöste und Tausende Netzwerke und Computer infizierte. Ausgebrochen ist die Epidemie in Taiwan, wo unbekannte Hacker infizierte Dateien an einen lokalen Listen-Server sandten. Von dort sprang der Virus in die USA über und infizierte mehrere beliebte Web-Server und Spieleprogramme. Die Spiele-Server waren wahrscheinlich der Hauptgrund für das enorme Ausmaß der Epidemie, die sich über das ganze Jahr zog. Der Virus überragte frühere Superstars wie Word.CAP und Excel.Laroux in der „Beliebtheit“. Das Besondere war aber seine schädliche Ladung: Je nachdem, an welchem Tag eine Infizierung passierte, löschte der Virus das Flash-BIOS, was in manchen Fällen dazu führte, dass die Hauptplatine ersetzt werden musste. Die komplexen Prozesse von CIH zwangen Antivirus-Hersteller dazu, ihre Entwicklungsgeschwindigkeit zu erhöhen.Im August tauchte BackOrifice (oder Backdoor.BO) auf und löste eine Kontroverse aus, da er als heimliches Tool für die Remote-Host-Administration über Netzwerke entwickelt worden war. Kurz darauf kamen ähnliche Viren wie NetBus und Phase ans Tageslicht.
Im August tauchte auch das erste schädliche, ausführbare Java-Modul auf: Java.StrangeBrew. Dieser Virus brachte keine direkte Gefahr, zeigte aber, dass Viren auch in Anwendungen zu finden sind, die zur Ansicht von Web-Seiten genutzt werden.
Im November entwickelten sich Schadprogramme mit drei besonderen Viren weiter, die Visual-Basic-Scripte (VBS-Dateien) infizierten, die oft für die Erstellung von Web-Seiten genutzt wurden. Zu dieser Zeit veröffentlichte Kaspersky Lab eine tiefgreifende Studie zum Potenzial von VBS-Viren. Allerdings haben viele andere Experten das Unternehmen dafür voreilig als Panikmacher kritisiert. Ein halbes Jahr später brach die LoveLetter-Epidemie aus und es wurde klar, dass die Vorhersage von Kaspersky Lab stimmte. Bis heute steht diese Art Virus auf Platz Eins der Liste der weitverbreitetsten und gefährlichsten Viren.
Die lögische Krönung von VBS-Viren waren vollwertige HTML-Viren wie HTML.Internal. Es wurde schnell klar, dass sich Virenautoren mehr und mehr auf Netzwerk-Anwendungen stürzen würden. Virenschreiber bewegten sich in Richtung Netzwerk-Würmer, die Fehler in Windows und Microsoft Office ausnutzen und entfernte Computer über Web-Server oder E-Mail infizieren.
Die nächste Office-Anwendung, die zu einem Virenopfer wurde, war PowerPoint. Im Dezember 1998 attackierte der Virus Attach, dessen Quelle unbekannt ist, als erster das Programm. Kurz darauf folgten ShapeShift und ShapeMaster, die wahrscheinlich beide den gleichen Autor hatten. Das Auftauchen von PowerPoint-Viren verursachte den Antivirus-Herstellern erneut einiges Kopfzerbrechen. Die Dateien von PowerPoint (PPT-Dateien) nutzen ein OLE2-Format, das festlegt, wie in DOS- und XLS-Dateien nach Viren gesucht werden kann. Doch die VBA-Module in PPT-Dateien werden komprimiert gespeichert, so dass es notwenig ist, neue Algorithmen zu entwerfen, über die sie entpackt werden können und darin nach Viren gesucht werden kann. Doch trotz dieser Probleme haben fast alle Antivirus-Hersteller die entsprechenden Funktionen in ihre Produkte integriert, um auch vor PowerPoint-Viren schützen zu können.
Im Januar statete das Magazin Virus Bulletin ein neues Projekt: VB 100%, eine regelmäßige Testreihe für Antivirus-Produkte, die feststellen soll, ob die Lösungen 100 Prozent der Viren „in the wild“ entdecken. VB 100% wird heute als einer der respektiertesten Tests angesehen. Auch auf dem Markt für Antivirus-Lösungen tat sich einiges: Im Mai kündigten Symantec und IBM die gemeinsame Arbeit an einem Antivirus-Produkt an, das von Symantec unter derem Namen vertrieben werden sollte, während das IBM-Produkt IBM Anti-Virus eingestellt werden würde. Gegen Ende September übernahm Symantec dann den Antivirus-Zweig der Intel Corporation, LANDesk Virus Protect. Und nur zwei Wochen später überraschte Symantec die Branche mit einer weiteren Übernahme: Diesmal der Firma QuarterDeck für 65 Millionen Dollar, zu deren Produkten auch die Antivirus-Lösung ViruSweep gehörte.
Diese aggressive Taktik blieb beim amerikanischen Antivirus-Giganten NAI nicht unbemerkt und am 13. August kündigte die Firma die Übernahme ihres Hauptkonkurrenten Dr. Solomon’s an, der für die Rekordsumme von 640 Millionen Dollar in Aktien den Besitzer wechselte. Diese Ereignisse schockierten die Antivirus-Branche: Der bisherige Konflikt zwischen zwei großen Unternehmen der Branche endete in einer Übernahme und damit dem Verschwinden eines der bekanntesten und technologisch stärksten Entwickler von Antivirus-Software.
Interessant war auch der Kauf von EliaShim, dem Entwickler der Antivirus-Lösung E-Safe, der im Dezember von Alladdin Knowledge Systems, einem bekannten Entwickler von Sicherheitsprodukten, übernommen wurde.
Ein kurioser Vorfall war die Viruswarnung vom 21. Dezember in der New York Times: Der Autor warnte vor einem Virus, der sich per E-Mail verbreite und bereits in einigen Netzwerken entdeckt worden sei. Später stellte sich heraus, dass es sich bei dem Virus um keinen geringeren als den bereits bekannten Macro-Virus Class handelte.