Comme leur nom l’indique, les vers de courrier électronique se propagent via des messages infectés. Le ver envoie une copie de lui-même en se faisant passer pour une pièce jointe dans un e-mail ou pour un lien vers son réseau d’origine (comme par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant aux hackers).
Dans le premier cas, le code du ver s’active quand la pièce jointe est ouverte (ou exécutée). Dans le deuxième cas, le code est activé quand le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même : le code du ver est activé.
Les vers de courrier électronique utilisent tout un éventail de méthodes pour envoyer des e-mails infectés. Les plus communes sont les suivantes :
- L’utilisation d’une connexion directe à un serveur STMP en utilisant le répertoire d’adresses électroniques intégré dans le code du ver.
- L’utilisation de Microsoft Outlook
- L’utilisation des fonctionnalités MAPI de Windows
Les vers de courrier électronique utilisent un certain nombre de sources différentes pour trouver les adresses de messagerie auxquelles ils enverront leurs courriers électroniques infectés :
- Le répertoire d’adresses de Microsoft Outlook
- Une base de données d’adresses WAB
- Les fichiers .txt stockés sur le disque dur : le ver peut identifier les lignes des fichiers textes qui correspondent à des adresses de courrier électronique.
- Les courriers électroniques de la boite de réception (certains vers de courrier électronique « répondent » même aux messages détectés dans la boite de réception)
De nombreux vers de courrier électronique utilisent plus qu’une des sources citées ci-dessus. Il existe également d’autres sources d’adresses de courrier électronique, telles que les répertoires associés aux services de messagerie en ligne.