روشهای مختلف تحلیل بدافزار به تحلیلگران امنیتی اجازه می دهند که بدافزارها را شناسايی و با تهديدات به وجودآمده از جانب آنها مقابله کنند. تحلیلگران امنیتی از روشهای ايستا و پويا برای تحلیل، تشخیص و شناسايی کرمها استفاده می کنند. در روش مبتنی بر امضاء بدافزارها از روی امضاهايی که از پیش تعريف شده اند و در پايگاه داده وجود دارند، شناسايی می شوند. از معايب روش مبتنی بر امضا می توان به ناتوانی اين روش در تشخیص بدافزارهای ناشناخته و کرمهايی که خود را با استفاده از روشهايی، از قبیل مبهم سازی، بسته بندی و رمزگذاری ايمن کرده اند، اشاره کرد. از آنجايیکه روشهای تحلیل مبتنی بر امضا در تشخیص کرمهای ناشناخته ناتوان بودند، تحلیلگران برای کشف روشهای جديد مبتنی بر تحلیل ايستا، برای تشخیص کرمهای ناشناخته تلاش کردند. در اين راستا، تحلیل پويا که مبتنی بر رفتار اجرای کرم است، مطرح می گردد. در اين روند، بدافزار بر اساس رفتارش يعنی تعاملاتی که با سیستم دارد، شناسايی می شود. بدين منظور کرم در يک جعبه شنی اجرا می شود و رفتارهای حاصل از آن تحلیل می گردد.  در روشهای تحلیل مبتنی بر فراخوانیهای سیستمی از فراخوانیهای سیستمی به عنوان ويژگی استفاده؛ می گردد. اما در روشهای تحلیل در شبکه از معیارهايی از قبیل پورت منبع، پورت مقصد، برچسب زمانی و ... به عنوان ويژگی استفاده می شود. اين در حالی است که ما از رفتارهای انتشاری جهت تشخیص و شناسايی کرمها استفاده می کنیم. ابتدا برنامه های سالم و مخرب در جعبه شنی به صورت تحلیل پويا، اجرا می شوند و فراخوانیهای سیستمی مربوط به آنها مورد نظارت قرار می گیرد. سپس با تحلیل تک تک اين فراخوانیهای سیستمی می توان رفتارهای انتشاری کرمها را استخراج کرد. فراخوانیهای مربوط به رفتارهای انتشاری به عنوان ويژگی در تشخیص کرمها استفاده می شوند.