I WORM (vermi) sono dei particolari programmi completamente indipendenti ed autosufficienti che oltre ad essere in grado di autoreplicarsi, come i virus, possiedono anche una propria capacità autonoma di propagazione utilizzando la connessione di rete. Si muovono quindi senza bisogno di intervento esterno. Il primo worm, noto come "Morris Worm", fu costruito e rilasciato in Internet nel 1988 e si propagò in parecchie migliaia di computer creando disfunzioni nelle reti di comunicazione pur non avendo lo scopo specifico di produrre danni. La propagazione avveniva sfruttando la vulnerabilità di alcuni servizi, come ad esempio il server di posta elettronica o di accesso remoto (utilizzati ad esempio dai programmi "rexec", "rsh" o "finger"), generalmente attivi in un grande numero di calcolatori. Tali vulnerabilità permettevano di acquisire il controllo completo del computer e successivamente il worm cercava gli indirizzi di possibili futuri bersagli in alcuni file di sistema oltre a decifrare le password degli utenti registrati nel computer compromesso.
Alcuni worm hanno la caratteristica peculiare di esistere e propagarsi solamente in memoria (RAM), senza la necessità di avere come supporto fisico permanente un file, rendendone quindi la rivelazione ancora più difficile.
Altri worm sono decisamente più malevoli contenendo funzioni specifiche per produrre dei "Denial of Service" (Dos , una forma di attacco che impedisce il normale funzionamento di un computer o di un suo servizio negandone l'accesso agli utenti autorizzati) o la cancellazione di siti web. Il worm "MyDoom", particolarmente sofisticato, esegue più funzioni contemporaneamente: scarica ed esegue file arbitrari sul nodo compromesso, configura una backdoor permanente e lancia un attacco DoS su una serie di siti web.
Un altro worm particolarmente attivo è stato Code Red che ha "infettato" più di 350000 computer in circa 24 ore.