Les Worms de leurs cotés se diffusent souvent plus directement par des buffers/stack/heap overflow, ainsi Slammer a pris plusieurs dizaines de milliers de serveurs d'assaut en quelques minutes. Certains sont agrémentés de backdoor, et beaucoup d'entre eux reste « privés » pour que les pirates puissent utiliser les PC infectés (dit zombies) quand ils en auront besoin, par exemple pour lancer des attaques par dénis de services (D.O.S).

Le foyer de la primo infection (la « patient zéro ») est extrêmement rarement trouvé, sauf quand les pirates « signent » leurs ouvres ou font la bêtise de lancer les infections à partir d'un même endroit.

Les buts restent les mêmes, nuire, détruire ou paralyser les systèmes. Les réponses sont variables, antivirus bien entendu, certains IPS (comportementaux notamment) peuvent empêcher la propagation ou les destructions, les IDS peuvent repérer les worms et les firewall bloquer leurs progressions à travers les réseaux.

Attention cependant avec les antivirus aux « dix heures de la mort » qui représente le temps moyen entre la détection d'une nouvelle souche et la mise à jour des bases de signatures des antivirus. Certaines société mettent jusqu'à 96 H, d'où l'intérêt de l'IPS dans ces cas.