Tipicamente un worm modifica il sistema che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finchè non si spegne il computer o non si arresta il worm stesso ammesso e non concesso che sia stato possibile identificarlo.
Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.
Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: la tecnica consiste nel ricercare indirizzi e-mail memorizzati nel computer ospite ed inviare una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm sono spesso composti in modo subdolo cercando di apparire come dei plausibili messaggi seri.
La tecnica di adattarre il testo di un messaggio alle abitudini di un particolare destinatario o di una particolare categoria di destinatari fa parte di quello che viene chiamato social engineering. Con questo termine si designa lo studio del comportamento e delle abitudini delle persone al fine di trarre informazioni utili per perpretare azioni informatiche illegali.
L'allegato al messaggio, che poi è il worm, spesso ha un nome che gli permette di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei difetti di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail, anche senza che l'utente apra esplicitamente l'allegato. Tutti i worm più recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo è falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.
I worm possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo. La tipologia forse più subdola di worm sfrutta dei difetti di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.