Pierwsze wirusy komputerowe pojawiły się na początku lat osiemdziesiątych. Były to w większości zaledwie eksperymenty – proste pliki samoreplikujące się, które po uruchomieniu wyświetlały żartobliwe komunikaty.

W roku 1986 zgłoszono pierwsze ataki na system Microsoft MS-DOS, dokonywane przez wirus o nazwie Brain. W tym samym czasie zanotowano także pojawienie się Virdem (pierwszego wirusa plikowego) oraz PC-Write (pierwszego konia trojańskiego – jest to programu z pozoru potrzebnego bądź nieszkodliwego, który jednak zawiera ukryty kod, mający wykorzystać lub uszkodzić system). W przypadku PC-Write, trojan podszywał się pod znany edytor tekstu typu shareware o tej samej nazwie.

Z czasem, gdy coraz więcej osób zaczęło zgłębiać możliwości wirusów, ich liczba sukcesywnie zwiększała się, podobnie jak ich możliwości czy typy platform docelowych. Wirusy najczęściej atakowały sektory rozruchowe dysków, by potem przenieść się na pliki wykonywalne. Przełom w historii wirusów nastąpił w roku 1988, kiedy to pojawił się pierwszy kod określany dzisiaj mianem robaka internetowego (jest to typ złośliwego oprogramowania, który dzięki samodzielnie rozprzestrzenia się poprzez połączenia sieciowe). Morris Worm – tak nazywał się ów robak – swoim działaniem znacznie spowalniał prędkość komunikacji sieciowej. W odpowiedzi na tego właśnie robaka, a także wiele innych wirusów, założono organizację CERT Coordination Center (j.ang.), która miała stać na straży stabilności Internetu poprzez pomoc w przeciwdziałaniu epidemiom i rozprzestrzenianiu się nowych odmian robaków.

W latach dziewięćdziesiątych powstawało wiele nieoficjalnych stowarzyszeń i forów (np. Virus Exchange BBS) dla osób tworzących wirusy, za pośrednictwem których mogły one dzielić się wiedzą. Również wtedy opublikowano pierwszą książkę na temat tworzenia wirusów, powstał także pierwszy wirus polimorficzny (określany jako Chameleon lub Casper). Wirus polimorficzny to typ złośliwego oprogramowania, stosujący niezliczoną ilość metod szyfrujących, tak aby uniknąć wykrycia. Wirusy te zapoczątkowały nową erę w historii malware, bowiem potrafiły same się modyfikować, dzięki czemu ich rozpoznanie i wykrycie przy pomocy sygnatur wirusów było znacznie utrudnione. Wkrótce potem miał miejsce pierwszy atak wirusa polimorficznego – Tequila. W roku 1992 na świecie pojawił się pierwszy silnik wirusa polimorficznego, jak również narzędzia wspomagające jego tworzenie.

Od tamtej pory niezmiennie aż do dnia dzisiejszego wirusy ewoluują i stają się coraz bardziej zaawansowane – dostają się do książek adresów e-mail i rozsyłają do zawartych tam kontaktów; wirusy można znaleźć w makrach dołączanych do dokumentów; tworzone są wirusy wykorzystujące konkretne luki w systemach operacyjnych i aplikacjach. Poczta elektroniczna, sieci P2P, strony internetowe, współużytkowane dyski – wszystko to wykorzystywane jest do replikacji wirusów i stanowi cel ataków. Tylne wejścia (ang. backdoor) to tajne lub ukryte wejścia do sieci, tworzone przez złośliwe oprogramowanie; dzięki nim twórcy wirusów – hakerzy – mogą ponownie wejść do zainfekowanego systemu i uruchomić dowolny program. W niniejszym przewodniku nazwa „haker” określa programistę, który w sposób nielegalny usiłuje uzyskać dostęp do systemu bądź sieci.

Obecnie niektóre wirusy wyposażone są we własny moduł e-mail, przez co wirus rozprzestrzenia się w systemie bezpośrednio za pomocą poczty elektronicznej, obchodząc wszelkie ustawienia klienta bądź serwera poczty elektronicznej. Twórcy wirusów zaczęli również dokładnie planować ataki – korzystają z inżynierii społecznej i tworzą wiadomości e-mail wyglądające na autentyczne, przez co użytkownik bez podejrzeń uruchamia załączony plik wirusa. Dramatycznie zwiększa to prawdopodobieństwo infekcji na wielką skalę.

Wraz z ewolucją złośliwego oprogramowania rozwijały się również programy antywirusowe. Jednak większość dostępnych obecnie programów opiera się niemal całkowicie na sygnaturach wirusów lub charakterystycznych cechach złośliwego oprogramowania pozwalających wychwycić potencjalnie szkodliwy kod. Od momentu pojawienia się wirusa do czasu rozpowszechnienia jego sygnatury przez dystrybutorów oprogramowania antywirusowego złośliwy program może wiele zdziałać. Dlatego też obserwuje się gwałtowny wybuch infekcji, trwający kilka dni, po którym następuje nagły spadek ich liczby w wyniku rozpowszechnienia odpowiedniej sygnatury wykrywającej wirusa.