Spesso i cybercriminali sfruttano le vulnerabilità presenti nel sistema operativo o nelle applicazioni in esecuzione sul computer della vittima; in questo modo un worm di rete o un virus trojan può penetrare nella macchina della vittima e avviarsi.
Una vulnerabilità è in realtà un errore nel codice o nella logica di funzionamento del sistema operativo o di un'applicazione. Poiché le applicazioni e i sistemi operativi odierni sono molto complessi e comprendono molte funzionalità, è difficile per il team di sviluppo di un fornitore creare software che non contengano errori.
Purtroppo, invece, i creatori di virus e i cybercriminali non mancano e sono pronti a dedicare molti sforzi allo studio delle vulnerabilità per sfruttarle prima che vengano corrette dalle patch distribuite dal fornitore.
Le vulnerabilità tipiche comprendono:
La distribuzione di codice nocivo attraverso le pagine Web è recentemente diventata una delle tecniche di implementazione del malware più popolari. In una pagina Web vengono inseriti un file infetto e un programma di script che sfruttano le vulnerabilità del browser. Quando un utente visita la pagina, il programma di script scarica il file infetto sul suo computer attraverso la vulnerabilità del browser e lo esegue. Per infettare il maggior numero possibile di computer, il creatore del malware si servirà di svariati metodi per attirare le vittime alla pagina Web:
I cybercriminali impiegano anche piccoli trojan progettati per scaricare e avviare trojan più grandi. Il virus trojan più piccolo entra nel computer dell'utente, ad esempio attraverso una vulnerabilità, quindi scarica e installa altri componenti nocivi da Internet. Molti trojan cambiano le impostazioni del browser configurando l'opzione di sicurezza più bassa, per facilitare il download degli altri trojan.
Purtroppo il periodo che intercorre tra l'emergere di una nuova vulnerabilità e il suo sfruttamento da parte dei worm e dei virus trojan tende a diventare sempre più breve. Ciò rappresenta una sfida sia per i fornitori di software che per i produttori di antivirus: