کرمها بدافزارهای مستقلی هستند که از آسیبپذیری کامپوننتهای موجود استفاده میکنند. برخلاف ویروسها که نیاز به یک برنامه برای فعال شدن دارند، کرمها سکوی مستقلی هستند. به این دلیل به آنها کرم میگویند که میتوانند در شبکه بخزند و خود را منتشر کنند. درواقع در صورت آلودگی یک سیستم، آن سیستم سکوی آلودگی سایر سیستمها در شبکه میشود. کرم از سیستم اول برای پویش سیستمهای دیگر استفاده میکند و آنها را آلوده میکند. انتشار کرمها طبق متدهای بازگشتی به صورت نمایی رشد میکند. در سال ۱۹۸۸ روبرت موریس (Robert Tappan Morris) کرمی تحت عنوان موریس منتشر کرد که در زمان کمی حدود یک دهم کامپیوترهای متصل به اینترنت را آلوده کرد. دادگاه ایالات متحده هزینه پاکسازی هر سیستم از کرم موریس را بین ۲۵۰ تا ۵۳۰۰۰ دلار تخمین زده بود. یکی از کرمهای پیشرفته کرم استاکسنت (Stuxnet) است که در سال ۲۰۱۰ کشف شد. این کرم حداقل ۵ سال در سیستمهای SCADA سازمان انرژی اتمی ایران فعال بودهاست. این کرم با استفاده از چند آسیبپذیری روز صفرم (Zero Day) موجود در کامپیوترهای موجود در سازمان، PLCهای سازمان را مورد حمله قرار داده بود. این کرم در کد خود یک حمله man in the middle داشت که سیگنالهای سنسور کنترل فرآیند صنعتی جعلی تولید میکرد و بنابراین سیستمها در صورت رفتار نامعمول از حرکت باز نمیایستادند. این کرم یکی از پیچیدهترین بدافزارهای تاریخ است. حمله لایهای این کرم سه سیستم مختلف را مورد حمله قرار میداد: ۱-سیستمعامل ویندوز، ۲-Siemens PCS 7، STEP7 و WinCCو ۳-S7 PLC.