E-Mail-Würmer (Email-Worms) verbreiten sich per E-Mail. Der Wurm versendet eine Kopie von sich selbst als Anhang einer E-Mail oder einen Link zu seiner Datei auf einer Netzwerk-Ressource (etwa eine URL, die zu einer infizierten Datei auf einer kompromittierten Webseite oder auf eine Webseite des Hackers führt).

Im ersten Fall aktiviert sich der Wurm-Code, wenn der infizierte Anhang geöffnet (gestartet) wird, im zweiten Fall wird der Code aktiviert, wenn der Link zu der infizierten Datei geöffent wird. In beiden Fällen ist das Resultat gleich: Der Wurm wird aktiviert.

E-Mail-Würmer verwenden verschiedene Methoden, um infizierte E-Mails zu verschicken. Die meist genutzten sind folgende:

  • Nutzung einer direkten Verbindung zu einem SMTP-Server und des in den Wurm-Code eingebauten E-Mail-Verzeichnisses
  • Nutzung von Outlook-Diensten
  • Nutzung von Windows-MAPI-Funktionen

E-Mail-Würmer verwenden zudem verschiedene Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:

  • das Adressbuch in Outlook
  • eine WAB-Adressdatenbank
  • .txt-Dateien, die auf der Festplatte gespeichert sind: der Wurm kann feststellen, welche Teile von Textdateien E-Mail-Adressen sind
  • E-Mails im Posteingang (manche E-Mail-Würmer „antworten“ sogar E-Mails, die sie im Posteingang finden)

Viele E-Mail-Würmer nutzen gleichzeitig mehr als eine der genannten Quellen. Es gibt zudem andere Quellen für E-Mail-Adressen, etwa Adressbücher, die mit Web-basierten E-Mail-Diensten verknüpft sind.