Wenn man eine Seite im Internet besucht, können jede Menge Daten über den Besucher festgestellt werden. Darunter sind zum Beispiel Browser, Betriebs-system und Provider. Unter anderem ist auch die IP-Nummer dabei, anhand dieser man zurückverfolgt werden kann. Sogenannte Anonymizer filtern solche Informationen heraus und setzen dafür andere ein. Somit kann man sich im Internet anonym bewegen.
Backdoor
Backdoors sind sogenannte Hintertüren, die Programmierer meist zum Austesten eines Programmes eingebaut haben, um zum Beispiel nicht jedesmal sämtliche Passwörter eingeben zu müssen. So kann z.B. ein kleines Bild als versteckter Link zu einer Sicherheitsarea dienen.
Ein Mechanismus, den ein Hacker auf einem komprimittierten System hinterlässt, um zu einem späteren Zeitpunkt auf einfachere Art und Weise einbrechen zu können. Oft werden auch Dropper dazu verwendet, Backdoors in ein System einzuschleusen. Gute Backdoors sind schwer zu entdecken, da sie sich meist tief in das darunterliegende System einklinken und dort ihre Spuren verwischen.

Bezeichnet den Vorgang, wenn ein manipuliertes System selbstständig eine Verbindung zum System des Hackers aufbaut.

Broadcast Storms richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird. An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das “Hängenbleiben” von umherirrenden IP-Paketen von vorneherein zu verhindern bzw. in kürzester Zeit zu eliminieren. Durch den Schneeballeffekt der nur noch durch "Stecker ziehen" aufgehalten werden kann.

Stapelüberlauf. Dieser Angriff führt zu einem Fehler, der unter Umständen dazu ausgenutzt werden kann, beliebigen Code auf einem Fremdrechner auszuführen.

Der Begriff Bombe hat zwei voneinander unabhängige Bedeutungen:
Logische Bombe: bezeichnet den Teil einer Software, welche seine schädliche Funktion nicht sofort, sondern erst zu einem definierten Zeitpunkt oder nach Ablauf einer Frist ausführt
Mail-Bombe: bezeichnet den Effekt, der sich einstellt, wenn man eine große Anzahl eMails zugesandt bekommt, die entweder die Mailbox und/oder das Netzwerk aufgrund des großen Datenvolumens überlasten

Ist eine Angriffsart, bei der alle möglichen Kombinationen so lange durchprobiert werden, bis eine Erfolg hat. Meist wird dieser Begriff für kryptographische Verfahren benutzt, bei denen der richtige Schlüssel zum Decodieren einer verschlüsselten Nachricht gefunden oder Passwörter erraten werden sollen. Brute Force steht oft auf für "die aufwendigste Vorgehensweise" und wird bei der Beschreibung von Verschlüsselungsverfahren gern als Maßstab für deren Güte missbraucht, indem berechnet wird, wie lange man per Brute Force Schlüssel ausprobieren müsste, um das Verfahren zu knacken.

Das Programm erzeugt Errors, welche die Perfomance und den Plattenplatz belastet und schließlich den Computer zum Absturz bringt.

Couriere sind Mitglieder von Hackerclubs oder Warez-Seiten, die dafür zuständig sind, daß sie die gehackte Software möglichst schnell in Umlauf bringen. Dies geschieht meist über einen schnellen Internetzugang ( Standleitung, oft Unis ) oder die Software wird über gebrannte CD´s verschickt.

Ein Cracker ist ein Hacker, der in fremden Systemen die Sicherheitsmechanismen überwindet. Der Begriff Cracker wurde Mitte der 80er Jahre eingeführt. Cracker erstellen meist kleine Programme, die von verschiedenen Programmen den Passwortschutz oder das Testzeitlimit außer Kraft setzen. So gibt es beispielsweise für verschiedene Softwarepakete, die normalerweise 30 Tage lang zu testen sind, einen Crack, mit dem die Zählfunktion für die benutzen Tage ausgeschaltet wird und somit das Programm für immer nutzbar gemacht wird.

Cracking nennt man das Überwinden von Sicherheitsvorkehrungen in einer Software oder das einbrechen in Computersystemen. Auf entsprechenden Hackerseiten findet man oft ganze Anleitungen (auch Tutz genannt) zum cracken von Programmen.

Eine Technik, bei der ein Angreifer eine Reihe von Zugängen eines ISPs auf Aktivitäten überwacht bzw eine große Anzahl von IP-Adressen zum Beispiel per Ping abtestet. Sobald ein Rechner eine dieser IP-Adressen zugewiesen bekommen hat und online ist, werden automatisch Programme aktiviert, welche die bekannten oder zu erwartenden Sicherheitslücken der heimischen PCs ausnutzen versuchen, da diese in der Regel über keine oder nur sehr spärliche Sicherheitsvorkehrungen verfügen.

Ist eine Form von Exploit, bei der der Fehler ausgenutzt wird, dass Pfade von Dateinamen fehlerhaft oder gar nicht geprüft werden. Durch das Voranstellen von "../../.."-Kombinationen entstehen relative Dateipfade, über die dann Dateien in Verzeichnissen ansprechbar sind, für die eigentlich keine Berechtigung besteht.

DoS ist die Bezeichnung für einen Exploit, der die Benutzung eines Dienstes auf einem angegriffenen System verhindert, indem er Programme oder ganze Systeme zum Absturz bringt oder blockiert. Es gibt verschiedene Arten von DoS:
System Flooding: Ein System erhält große Datenmengen, so dass normale Daten nicht mehr durchkommen
Service Flooding: An Dienste wie IRC werden mehr Events versandt, als durch diese abgearbeitet werden können
Bombs: s.o
TCP/IP Crashing: Durch Versenden von fehlerhaften TCP/IP-Paketen werden die Betriebssystemroutinen verwirrt bzw der komplette Netzwerkverkehr unterbrochen; ein Beispiel ist der bekannte Ping of Death
Service Crashing: Das Versenden von unerwarteten Daten bringt ein System zum Absturz oder zu Fehlverhalten

Eine Denial-of-Service Attacke, an dem sich mehrere Rechner beteiligen. Je nach Intensität ( also Bandbreite ) können solche verteile Attacken ganze Netzwerkknoten lahmlegen. Oft werden auch die Systeme so synchronisiert, dass sie gleichzeitig ein einzelnes System angreifen und zum Absturz bringen.

Dropper sind Programme, die vor allem im Viren- und Trojaner-Umfeld Malware in ein System einschleusen und dort installieren. Meist werden sei als sinnvolle und hilfreiche Programme getarnt, um Aufmerksamkeit zu erwecken und die Hemmschwelle für ihre Benutzung herunterzusetzen.

Bezeichnet in diesem Zusammenhang ganz allgemein das Ausnutzen von Programmier- oder Konfigurationsfehlern in Systemen, um in diese einzudringen. Exploits teilen sich in mehrere größere Kategorien auf: Buffer Overflow, Directory Climbing, Defaults, Denial of Service

Eine Firewall stellt sich vor einen Server und überwacht jeglichen Datenverkehr, der zu bzw. von dem Server geschickt wird. So ist es möglich, bestimmte Internetadressen zu sperren, bzw. den Zugriff auf den Server nur bestimmen Leuten zu ermöglichen.

Bezeichnet eine Klasse von Angriffen, bei der ein Opfer mit Informationen "überflutet" wird, so dass das angegriffene System überlastet wird

Ein Gateway ist ein Rechner, der speziell für den Zweck vorgesehen ist, ausgehende Verbindungen zu handhaben. Auch wenn sie nicht über eine dedizierte Internetverbindung (also eine Standleitung) verfügen, gibt es keinen Grund, warum jeder Benutzer ein Modem haben sollte. Statt dessen kann man ein Gateway konfigurieren, das alle ausgehenden Verbindungen zentral verwaltet ( Rechner B und C können also auch das Modem von A benutzen )

Ein Angriff, bei dem ein Angreifer eine Seite einer authentifizierten Netzwerkverbindung übernimmt und eventuell zuvor den Kommunikationspartner "nuked". Da in der Regel die Authentifizierung nur am Anfang einer Verbindung stattfindet, kann der Angreifer ohne weitere Sicherheitsabfragen anstelle des ursprünglichen Kommunikationspartners agieren.

Der Begriff Hacker wird in Computerkreisen für jemanden verwendet, der sich in den "Innereien" von Computer, Informationssystemen oder ganz allgemein in bestimmten Technologien so gut auskennt, dass er die Abläufe nach seinen Wünschen manipulieren kann. Ein Hacker ist also nicht grundsätzlich ein "Einbrecher in Computersysteme" und nicht unbedingt böswillig. Böswillige Hacker werden teilweise als Cracker bezeichnet, während andere diese Begriffe lediglich für Leute verwenden, die verschlüsselte Daten dechiffrieren oder sich auf das Umgehen des Kopierschutzes von Programmen spezialisiert haben.

So wird ein Verzeichnis auf einem FTP-Server genannt, in dem jeder Lese- und Schreibzugriff hat. Solche Verzeichnisse sind häufig auf Servern von Unversitäten vorhanden. Diese wird dann sehr häufig von Crackern ausgenutzt, um illegale Raupkopien zu verteilen.

Unter einer IP-Adresse versteht man eine nur einmal vergebene eindeutige Anschrift eines Computers. Bei Servern ist diese statisch, d.h. sie verändert sich niemals und bleibt immer exakt gleich. Bei Anwendern die sich erst über eine Telefonleitung ins Internet einwählen müssen ist sie variabel und ändert sich bei jedem Einwählen

Beim IP-Masking wird nur Zugriff auf einen Server erlaubt, wenn man über eine bestimmte statische IP verfügt oder von einer dieser weitergeleitet wurde. Alle weiteren werden blockiert und erhalten keinen Zugriff auf den Server.

Beim Ip-Masquerading werden mehrere private IP-Adressen auf eine einzige öffentliche Adresse umgesetzt.

Vorgang, bei dem ein System, in welches man bereits eingebrochen ist, als Basis verwendet wird, um von dort weitere Systeme anzugreifen

Keystroke Logger sind Programme, welche vom Opfer unbemerkt im Hintergrund ablaufen und die Tastendrücke des Anwenders mitprotokollieren. Diese Protokolle werden dann an den Hacker übermittelt, der darin nach Passwörter oder ähnliche geheime Informationen sucht. Häufig werden solche Funktionen in Remote Administration Trojans integriert.

Bei dieser Attacke wird ein Paket mit gleichem Absender- und Empfängerport erstellt und an einen offenen Port des Zielrechners geschickt. Dies kann das System lahmlegen ( funktioniert bei fast allen Betriebssystemen )

Als Larval Stage bezeichnen Hacker eine Phase, in der sie sich auf nichts anderes als auf das Umschreiben von Programmen beschränken.

Als Leecher werden die Anwender bezeichnet, die sich der Warez bedienen, ohne eine Gegenleistung dafür zu erbringen. Wer auf einem umfangreichen Download nur wenige Uploads folgen läßt, wird als Leecher bezeichnet.

Einer der ältesten Denial of Service-Attacks ist das inzwischen “klassische” Mail-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombadiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer: Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, daß sie die Email-Adresse des Opfers gleich mehrmals als BCC-Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von BCC-Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Mail-Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muß sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.

Dies ist die primitivste Art des Angriffs auf einen Rechner. Dabei wird nur ein Brute-Force Angriff durchgeführt, bei dem ( sinnlose ) Nachrichten in einer so großen Zahl an einen Rechner gesendet werden, so daß er durch die Flut dieser Nachrichten nicht mehr dazu kommt die Nachrichten seiner Clients zu behandeln. Ein gutes Beispiel für solche Nachrichten sind Ping-Anfragen ( echo-request ). Wird ein Rechner durch eine große Zahl an solchen Nachrichten bombadiert, so kann dies dazu führen, daß er einen Großteil seiner Rechenzeit damit verbringt die entsprechenden Antworten ( echo-replies ) zu verschicken. Dies kann dazu führen, daß der Rechner nicht mehr in der Lage ist die Anfragen seiner Clients zu bearbeiten und somit quasi ausgeschaltet ist.

Eine Angriffsart, bei der sich der Angreifer so zwischen die beiden Kommunikationspartner drängt, dass beide meinen, sie würden mit dem gewünschten Partner kommunizieren - in Wahrheit kommunizieren aber beide Seiten mit dem Mittelsmann, der die übertragenen Daten abfängt, auswertet und eventuell (unbemerkt) in veränderter Form wieder weiterleitet.

Nahezu schon legendäre Denial of Service-Attacks sind die sogenannten Nukes. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme ( ungepatchte Versionen von Windows und Linux ) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand.
In diesem Fall wird ein spezielles UDP-Paket an einen Port geschickt, welcher standardmässig bei vielen Computern geöffnet ist. Die Wirkungsweise liegt nun darin, daß ein entsprechend ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer “panikartigen” Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.

Eine Attacke auf einen Rechner, bei der Massenhaft ICMP-Pakete an die IP-Adressee des Opfers geschickt werden.

Unter Phreaking versteht man das Knacken von Telefonsystemen. Durch Phreaking wird es möglich, umsonst oder auf Kosten anderer zu telefonieren.

Das Ping Flooding gehört zu den Denial-of-Service Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein angepingter Host quittiert hierzu einen Ping mit einer echoartigen Antwort, einem sogenannten “Pong”.
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombadiert, die der Host dann natürlich alle bearbeitet (f alls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert ) und entsprechend das eigene System und die Netzverbindung auslastet.

Ein weiterer, besonders hinterhältiger Veteran der Denial of Service-Attacks sind die Large Packet-Attacks, unter Insidern Ping of Death genannt ( obwohl die Attacke nichts mit dem eigentlichen Ping-Programm zu tun hat ) Die Wirkungsweise von Large Packet-Attacks ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB ( 65.535 Bytes ) große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können ( fragmentieren ) . Beim Empfänger werden diese einzelnen Päckchen wieder zusammengefügt ( reassemblieren ) , allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.

Im Internet hat jeder Dienst seinen eigenen Port, so steht zum Beispiel für HTTP der Port 80 und für FTP der Port 21. Diese Ports können fast immer frei belegt werden. Oft dienen solche Ports auch für spezielle Admin-Programme, mit denen man den Server betreuen kann. Mit einem Port-Scanner kann man nun herausfinden welche Ports vom Zielrechner zur Zeit belegt bzw. offen sind.

Ein Proxy übernimmt als Stellvertreter für Clients die Kommunikation mit Servern in einem anderen Netz ( auch dem Internet ) . Im unterschied zur Firewall ändert er aber die Datenpakete – er schickt sie unter der eigenen Adresse und dem passenden Port ins Internet und leitet die Antwort dann an die entsprechenden Clients zurück. Die Client-Anwendungen müssen zur Benutzung eines Proxy umkonfiguriert werden, sodass sie alle Anforderungen an ihn richten. Außerdem muß der Proxy den jeweiligen Dienst unterstützen.

Trojaner, die einem Angreifer neben dem reinen Zugang zu einem infizierten System auch die Möglichkeit bieten, verschiedene Funktionen und Aufgaben fernzusteuern. Genau wie Viren oder normale Trojaner schleusen sie meist Dropper in ein System ein und installieren sie.

Wenn eine Internetverbindung über einen Redirektor hergestellt wird, dann wird eine Anfrage auf einen anderen Server umgeleitet. Hacker und Cracker benutzen häufig diese Redirektoren, um ihre wahre Homepage versteckt zu halten.

Vermittlung von Datenpaketen zwischen zwei unterschiedlichen IP-Teilnetzen. Router können über spezielle Protokolle die besten Wege zur Weiterleitung der Daten selbstständig miteinander aushandeln. Ein Datenpaket, daß nicht für das lokale Subnetz des sendenden Clients bestimmt ist, wird in den nächstgelegenen Router weitergeleitet. Kennt dieser die Zieladresse, schickt er das Paket direkt weiter. Ansonsten wird es so lange an andere Rechner durchgeschoben, bis es eine Maschine erreicht, die im gleichen Subnetz wie der angesprochene Zielrechner liegt.

Bezeichnet eine Technik, bei der Hacker nach offengebliebenen Verbindungen suchen und diese übernehmen. Solche Verbindungen können auftauchen, wenn eine existierende Verbindung, zum Beispiel eines Rechnerabsturzes, einseitig abrupt beendet wird.

Dies ist der Name für einen Exploit, bei dem ein Angreifer eine gespoofte Absenderadresse vortäuscht und von dieser Adresse aus einen Ping-Request an eine Broadcast-Adresse verschickt. Jeder Rechner, der durch die Broadcast-Adresse erreicht wird, antwortet daraufhin mit einem Ping-Reply an den gespooften Rechner, der dadurch mit sehr vielen Antwort-Paketen bombardiert und im schlimmsten Fall überlastet wird.

Ein Sniffer ist ein Programm, das eine Datenleitung anzapft und den über diese Leitung laufenden Datenverkehr abhört, um geheime Daten wie Passwörter auszuspionieren. Für diese passive Angriffsart muss man einen direkten Zugang zu dem Übertragungsmedium zwischen den bieden auszuspionierenden Kommunikationspartner haben. Dies in in LANs relativ einfach, da in der Regel alle Rechner an einem Ethernet- oder TokenRing-Strang angeschlossen sind. Schwieriger gestaltet sich Sniffing, wenn man die Leitung zwischen einem Heimanwender und dessen ISP abhören möchte.

Bezeichnet den Vorgang, bei dem sich jemand als ein anderer ausgibt bzw dessen Identität annimmt. Speziell im Netzwerkumfeld bedeutet dies meist das Fälschen der IP-Adresse des Absenders, um dem Empfänger einen seriösen Absender vorzugaukeln. Meist denkt man im Zusammenhang mit Spoofing deshalb sofort an "maskierte Clients". Der umgekehrte Fall - ein Server gibt sich für einen anderen aus und bietet zum Beispiel anstatt der erwarteten Software infizierte Malware zum Download für ahnungslose Clients an - ist genauso bedenklich.

Dieser Typ einer Denial-of-Service Attacke, ist die wohl hinterhältigste überhaupt. Hier wird das Drei-Wege-Handshaking von TCP benutzt, um sog. halboffene Verbindungen herzustellen. Da TCP ein sicheres Übertragungs-protokoll ist gibt es Mechanismen, um eine Verbindung zu synchronisieren. Dies wird über das Drei-Wege-Handshaking von TCP erledigt.Dabei gibt es, wie der Name schon ahnen läßt, drei Schritte, die durchgeführt werden:
Der Client sendet eine Synchronisationsnachricht ( SYN ) an den Server
Der Server antwortet mit einem entsprechenden Acknoledgment ( ACK/SYN )
Darauf sendet der Client sein Acknoledgement ( ACK ) an den Server

Mit diesen drei Schritten ist das Handshaking abgeschlossen. Nach Schritt 2 befindet sich auf dem Server ein Eintrag für die Verbindung, der bestehen bleiben muß, bis der Client seine Antwort gesendet hat. Eine Verbindung in diesem Stadium nennt man halboffen. Ein SYN-Attack nutzt nun die Tatsache aus, daß der Server die halboffenen Verbindungen speichern muß, bis er eine Antwort darauf erhält. Wird diese Antwort allerdings nie gesendet, so muß der Server die halboffene Verbindung trotzdem im Speicher behalten. Tatsächlich hört das Opfer erst nach einiger Zeit auf, auf die Bestätigung zu warten, wodurch natürlich recht schnell die gesamte Bandbreite des Rechners “aufgebraucht” ist.In den Implementierungen von diesem Protokoll wird in der Regel eine Query benutzt, die einen gewissen endlichen Speicher für die halboffenen Verbindungen zur Verfügung stellt. Erstellt nun ein Angreifer eine größere Menge dieser halboffenen Verbindungen, so ist abzusehen, daß der Speicher der Query irgendwann zu Ende ist. An dieser Stelle ist es dem Server nun nicht mehr möglich eine weitere TCP-Verbindung aufzubauen. Er kann somit nicht mehr auf Anfragen seiner Clients reagieren. Im schlimmsten Falle kann es sogar dazu führen, daß der Serverrechner durch den Überlauf der Query abstürzt, wodurch er dann völlig lahmgelegt wäre. Weiterhin tritt bei manchen fehlerhaften TCP-Implementierungen der Fehler auf, daß bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschickt wird, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.

Ist wie der Ping of Death ein Exploit, der auf fehlerhaften IP-Fragmenten basiert. Anders als PoD generiert Teardrop IP-Pakete, die sich aus Sicht des Empfängers überlappen, das heißt die Sequenznummern sind nicht korrekt angeordnet. Je nach Implementierung des TCP/IP-Stack kann es dadurch zu Buffer Overrruns kommen mit den bereits beschriebenen Möglichkeiten diesen auszunutzen

Ein Trojanisches Pferd ist ein Programm, welches vorgibt, ein nützliches Programm zu sein, jedoch erst beim Aufruf sein wahres Gesicht zeigt und meist mit dem zerstörerischen Werk beginnt. Trojanische Pferde haben normalerweise nicht die Möglichkeit, sich selbst zu vermehren. Zeitweise gab es im Internet viele Trojanische Pferde, z.B. getarnt als neueste Packerversion. Viele Anwender haben dann solche Programme heruntergeladen. Als sie diese dann starteten, stellte sich heraus, daß es in Wirklichkeit ein Trojanisches Pferd war, daß zum Beispiel die Festplatte löschte oder anderes anstellte. Auch kann es sein, daß der Packer tatsächlich dann das Programm ist, welches man haben wollte. Jedoch ist der Packer, dann aber nicht das einzige Programm welches ausgeführt wird

Ein Computervirus ist ein Programm, daß die Fahigkeit besitzt, sich selbständig an andere Dateien, meist ausführbaren Programmen anzuhängen. Viren vervielfältigen sich von selbst, was sie von den Trojanischen Pferden und den Logischen Bomben unterscheidet. Im Gegensatz zum Wurm benötigt ein Computervirus einen fremden Programmcode, den sogenannten Wirtscode, in den sich der Virus einnistet. Der Ablauf des Wirtscodes wird meist nicht geändert. Das befallene Programm dient lediglich als Transportmittel.

Ein Wurm ist ein Computervirus, welches sich selbst vervielfältigt, sich dabei jedoch nicht an ein anderes Programm anhängt, sondern eine Kopie von sich selbst erstellt. Würmer können somit nicht Bestandteil anderer Programmabläufe werden und sind meist nur dann eine Gefahr, wenn man ein solches Programm aufruft.