Si tratta di un programma maligno in grado di autoreplicarsi attraverso i canali di posta elettronica, all’insaputa dell’utente-vittima. Durante il processo di auto-diffusione, il worm provvede ad inviare una copia di se stesso in forma di allegato ad un messaggio e-mail, oppure un link malevolo al proprio file, collocato su una determinata risorsa di rete (ad esempio un URL preposto a condurre verso il file infetto, ospitato in un sito web violato o di proprietà di hacker).
Nel primo caso, il codice del worm si attiva non appena viene aperto (lanciato) l’allegato infetto; nel secondo caso, invece, il codice dannoso si attiva quando viene aperto il link destinato a condurre verso il file infetto. In entrambi i casi, l’effetto prodotto è lo stesso; viene di fatto attivato il codice nocivo del worm.
Per inviare i messaggi e-mail infetti gli Email-Worm ricorrono a vari metodi. I più diffusi sono i seguenti:
- connessione diretta ad un server SMTP, utilizzando la libreria e-mail incorporata nel codice del worm;
- utilizzo dei servizi di MS Outlook;
- utilizzo delle funzioni MAPI di Windows.
Allo stesso modo, gli Email-Worm si avvalgono di vari metodi e fonti per recuperare gli indirizzi e-mail ai quali saranno poi inviati i messaggi di posta elettronica infetti. I metodi più frequentemente utilizzati dai worm di posta elettronica sono i seguenti:
- invio di una copia del worm a tutti gli account e-mail individuati nella rubrica degli indirizzi di MS Outlook;
- lettura degli indirizzi presenti nel database degli indirizzi WAB;
- scansione dei file .txt “idonei” presenti sul disco, allo scopo di identificare le stringhe riconducibili ad indirizzi di posta elettronica;
- invio di una copia del worm a tutti gli indirizzi individuati nei messaggi di posta contenuti nella cartella inbox (alcuni Email-Worm sono addirittura in grado di “rispondere” ai messaggi rilevati in tale cartella).
Molti worm di posta elettronica utilizzano contemporaneamente più di uno dei metodi qui sopra elencati. Vi sono ugualmente ulteriori fonti di indirizzi e-mail, quali, ad esempio, le rubriche degli indirizzi associati a servizi di posta elettronica forniti sul web.