Embora as fases exatas possam variar um pouco, dependendo do verme ou vírus específico e de sua metodologia, cinco fases básicas geralmente descrevem um ataque típico:
1.
propagação: Esta é a fase inicial em que o malware se espalha. Para os vermes, isso geralmente envolve a exploração de vulnerabilidades em sistemas para replicar e infectar automaticamente outros computadores em uma rede. Os vírus requerem interação do usuário, normalmente através da abertura de anexos infectados ou da execução de programas infectados, para se propagar. O objetivo é obter uma distribuição generalizada.
2.
infecção: Quando o malware atingir um sistema de destino, ele inicia o processo de infecção. Isso envolve estabelecer -se no sistema, geralmente escrevendo seu código no disco rígido, memória ou setor de inicialização. Isso protege sua presença e permite que ele execute suas ações maliciosas.
3.
Execução: Após a infecção, o malware executa sua carga útil. Essa carga útil pode variar de ações relativamente benignas, como exibir pop-ups irritantes, atividades muito mais prejudiciais, como roubar dados, criptografar arquivos (ransomware), destruir dados ou criar backdoors para novos ataques.
4.
ocultação/persistência: Muitos vermes e vírus tentam ocultar sua presença para fugir da detecção por software antivírus ou administradores de sistemas. Eles podem modificar arquivos do sistema, excluir logs ou executar no modo furtivo. Eles também buscam persistência, o que significa que tentam sobreviver a reinicializações de sistemas ou atualizações de software para continuar sua atividade maliciosa.
5.
entrega/dano da carga útil: Este é o culminar do ataque, onde o malware oferece seu efeito prejudicial real. Essa fase está diretamente relacionada à meta do malware-roubo de dados, interrupção do sistema, negação de serviço etc. É também onde o dano se torna aparente à vítima.
É importante observar que essas fases nem sempre são estritamente seqüenciais. Alguma sobreposição pode ocorrer e a ênfase em cada fase pode diferir dependendo do tipo específico de malware.