Jednak, podobnie jak w przypadku formalnego programu, VBS można również wykorzystać do stworzenia złośliwego kodu. Ponieważ łatwo jest osadzić skrypt w HTML-u, autor wirusa może osadzić złośliwy skrypt wewnątrz wiadomości e-mail w HTML-u. Skrypt uruchomi się automatycznie podczas czytania e-maila przez użytkownika.