E-Mail-Würmer (Email-Worms) verbreiten sich per E-Mail. Der Wurm versendet eine Kopie von sich selbst als Anhang einer E-Mail oder einen Link zu seiner Datei auf einer Netzwerk-Ressource (etwa eine URL, die zu einer infizierten Datei auf einer kompromittierten Webseite oder auf eine Webseite des Hackers führt).
Im ersten Fall aktiviert sich der Wurm-Code, wenn der infizierte Anhang geöffnet (gestartet) wird, im zweiten Fall wird der Code aktiviert, wenn der Link zu der infizierten Datei geöffent wird. In beiden Fällen ist das Resultat gleich: Der Wurm wird aktiviert.
E-Mail-Würmer verwenden verschiedene Methoden, um infizierte E-Mails zu verschicken. Die meist genutzten sind folgende:
- Nutzung einer direkten Verbindung zu einem SMTP-Server und des in den Wurm-Code eingebauten E-Mail-Verzeichnisses
- Nutzung von Outlook-Diensten
- Nutzung von Windows-MAPI-Funktionen
E-Mail-Würmer verwenden zudem verschiedene Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:
- das Adressbuch in Outlook
- eine WAB-Adressdatenbank
- .txt-Dateien, die auf der Festplatte gespeichert sind: der Wurm kann feststellen, welche Teile von Textdateien E-Mail-Adressen sind
- E-Mails im Posteingang (manche E-Mail-Würmer „antworten“ sogar E-Mails, die sie im Posteingang finden)
Viele E-Mail-Würmer nutzen gleichzeitig mehr als eine der genannten Quellen. Es gibt zudem andere Quellen für E-Mail-Adressen, etwa Adressbücher, die mit Web-basierten E-Mail-Diensten verknüpft sind.