1. Verspreiding: Dit is de eerste fase waarin de malware zich verspreidt. Bij wormen gaat het vaak om het misbruiken van kwetsbaarheden in systemen om automatisch andere computers in een netwerk te repliceren en te infecteren. Virussen vereisen interactie van de gebruiker, meestal door het openen van geïnfecteerde bijlagen of het uitvoeren van geïnfecteerde programma's, om zich te kunnen verspreiden. Het doel is om een ​​brede verspreiding te bewerkstelligen.

2. Infectie: Zodra de malware een doelsysteem bereikt, begint het infectieproces. Dit houdt in dat het zich op het systeem vestigt, vaak door de code naar de harde schijf, het geheugen of de opstartsector te schrijven. Dit beveiligt zijn aanwezigheid en stelt hem in staat kwaadwillige acties uit te voeren.

3. Uitvoering: Na infectie voert de malware zijn payload uit. Deze lading kan variëren van relatief goedaardige acties zoals het weergeven van vervelende pop-ups tot veel schadelijkere activiteiten zoals het stelen van gegevens, het versleutelen van bestanden (ransomware), het vernietigen van gegevens of het creëren van achterdeurtjes voor verdere aanvallen.

4. Verbergen/Persistentie: Veel wormen en virussen proberen hun aanwezigheid te verbergen om detectie door antivirussoftware of systeembeheerders te omzeilen. Ze kunnen systeembestanden wijzigen, logbestanden verwijderen of in stealth-modus draaien. Ze streven ook naar doorzettingsvermogen, wat betekent dat ze proberen het opnieuw opstarten van het systeem of software-updates te overleven om hun kwaadaardige activiteiten voort te zetten.

5. Levering/schade aan lading: Dit is het hoogtepunt van de aanval waarbij de malware zijn daadwerkelijke schadelijke effect sorteert. Deze fase houdt rechtstreeks verband met het doel van de malware:gegevensdiefstal, systeemverstoring, denial-of-service, enz. Dit is ook het moment waarop de schade voor het slachtoffer duidelijk wordt.

Het is belangrijk op te merken dat deze fasen niet altijd strikt opeenvolgend zijn. Er kan enige overlap optreden en de nadruk op elke fase kan verschillen, afhankelijk van het specifieke type malware.