Co do programu - jako-taki można, ale co do samego wirusa jako wirusa z definicji to nie, bo jest to zazwyczaj plik/ rzecz skryptowa.
na pewno można zaatakować jak napisam Chris, ale to prawdopodobnie też wymagać będzie minimalnie JS.
Jeśli mowa by była o wykorzystaniu JS, to już spokojnie można nawet pisać wirusy.
Z css jest ciekawa sprawa opisana tutaj:
https://hackaday.com/2018/02/25/css-steals-your-web-data/
Infekcja jako taka, lub niespodziewana reakcja, ale samo w sobie HTML z Batchem chociaż to już :D pozwoli na wirusy