Los Email-Worms (Gusanos de correo electrónico) se propagan a través de los correos. Estos gusanos envían copias de sí mismos en forma archivo adjunto o de enlace a un archivo infectado en un recurso de red (por ejemplo, una dirección URL que lleva a un archivo infectado alojado en un sitio web comprometido).

En el primer caso, el código del gusano se activa cuando se abre el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace a la página web que contiene el archivo infectado. En ambas situaciones, el resultado es el mismo: el código malicioso es ejecutado.
Los gusanos de correo utilizan una variedad de métodos para enviar correos infectados. Los más comunes son:

  • Utilizar una conexión directa a un servidor SMTP mediante el directorio de direcciones de correo electrónico integrado en el código del gusano
  • Utilizar los servicios de MS Outlook
  • Utilizar las funciones MAPI de Windows.

Los Email-Worms utilizan diferentes fuentes para encontrar las direcciones de correo electrónico a las que se enviarán los mensajes infectados:

  • La libreta de direcciones de MS Outlook.
  • La base de datos de direcciones WAB
  • Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas de archivos de texto son direcciones de correo electrónico
  • correos en la bandeja de entrada (algunos gusanos de correo incluso pueden responder emails que se encuentran en la bandeja de entrada).

Muchos gusanos utilizan más de una de las fuentes mencionadas. También existen otras fuentes, tales como las libretas de direcciones asociadas a servicios de correo electrónico basados en web.