Spyware sprer seg ikke direkte på samme måte som et virus eller en dataorm. Generelt kan man si at et infisert datasystem ikke forsøker å overføre infeksjonen til andre nettverk eller datamaskiner. Et spionprogram kommer som oftest inn i et system ved å bedra eller villede brukeren, eller ved å utnytte svakheter i software og nettlesere.

Den vanligste måten en bruker får spyware inn på maskinen, er ved at brukeren selv installerer det. Dessverre er det jo selvsagt slik at en bruker ikke selv, med viten og vilje, vil installere et program dersom brukeren vet at dette programmet kommer til å senke effektiviteten på maskinen, eller utleverer sensitive og personlige opplysninger. Av denne grunn kommer ofte spyware inn på maskinen via gratisprogrammer (som en del av underfilene i programmet), programmer som brukeren ofte tror er designet av vennlige sjeler. På denne måten forfører mange spionprogrammer brukerne, enten ved å ”henge seg på” attråverdig software, eller rett og slett ved å lure brukeren til å gjøre noe som installerer spyware uten at brukeren er klar over hva som skjer.

En annen måte er den klassiske Trojan Horse, eller trojaner som det kalles på norsk. Som i historien om det gamle Troja, er dette en type program som utgir seg for noe annet enn det er, eller gjemmer seg inni noe man vet eller tror hva er i utgangspunktet. Distributøren presenterer programmet som et nyttig hjelpeprogram, for eksempel for at Internett skal fungere raskere, eller som hjelpeprogram i forhold til operativsystemet. Først etter at brukeren har lastet ned og installert dette programmet, oppdager han eller hun at det kan forårsake skade.

Spyware kan også komme seg inn på maskinen ved å være ”bundled”, eller buntet, med fildelingsprogrammer (shareware), eller annen nedlastningsbar programvare. Eksempel på dette er dersom brukeren laster ned og installerer et verktøy for fildeling, eller et musikkprogram, og installeringsprogrammet installerer spyware i tillegg. Selv om det ønskede programmet ikke forårsaker noen skade i seg selv, gjøre det buntete spionprogrammet det. I noen tilfeller betaler skaperne av et spionprogram skaperne av gratisprogrammer for å bunte programmene deres sammen. Fildelingsprogrammet Kazaa er et førsteklasses eksempel på dette (Kazaa kommer med syv spionprogrammer innebygd – og to av disse er man simpelthen NØDT til å ha installert for at Kazaa skal kunne fungere).

Andre eksempler er Gator (ført av Claria), og BearShare, som er støttet av WhenU. Med WhenU får man Save! og SaveNow! på kjøpet, som er adwareprogrammer, og som kan være utrolig irriterende og vanskelige å bli kvitt. Lisensen til BearShare, som de aller færreste orker å lese, spesifiserer faktisk at man er nødt til å godta Save!, og at exe-filen Save er ulovlig å fjerne, og dessuten helt nødvendig for at BearShare skal kunne fungere. Selv om installeringsprogrammet hevder det motsatte, overvåker dette programmet brukerens Internett-aktivitet, og sender denne informasjonen videre til WhenU sine servere.

En tredje måte å lure brukere på er å ”etterligne” sikkerhetsvarsler, som man i utgangspunktet er til for å beskytte maskinen. Nettleseren Internet Explorer er konstruert for å ikke kunne la internett-sider foreta en ukontrollert nedlastning: brukeren er aktivt nødt til å initiere nedlastningen ved å klikke på en link. Men linker kan også være forræderiske. Noen pop-up-vinduer er designet for å se ut som en vanlig Windows-varselvindu. Vinduet inneholder en beskjed som sier at ”datamaskinen din er utsatt for risiko, ønsker du å oppgradere sikkerheten din nå?”, hvorpå, enten man trykker ”ja” eller ”nei”, initierer nedlastningen av et spionprogram. Som oftest er eneste måten å sikre seg mot nedlastning i slike tilfeller, å trykke på ”Alt” og ”F4”, som lukker dialogboksen. Det skal dog sies at nyere versjoner av Internet Explorer inneholder færre muligheter for slike angrep, samt at stadig flere brukere benytter seg av Mozilla’s Firefox og Opera.

Noen programmere av spionprogrammer smitter systemer ved å angripe sikkerhetshull i nettleseren eller annen type software. Når brukeren klikker seg inn på en nettside som er kontrollert av spyware-programmereren, kan det være at nettsiden inneholder en kode som angriper nettleseren og ”tvinger” fram en nedlastning og installasjon av spyware. Dette har blitt kjent som ”drive-by-download”, jamfør det amerikanske begrepet ”drive-by-shooting”, hvor brukeren er en hjelpeløs tilskuer til det som skjer. De fleste angrep skjer mot sårbare punkt i Internet Explorer og Microsofts Java Runtime. På grunn av at Internet Explorer fortsatt og uten sammenligning er den langt mest brukte nettleseren, og som mange brukere ikke har de nyeste oppdateringene av, er denne nettleseren fortsatt den flest programmerere av malware forsøker å sikte seg inn mot.

Andre metoder for infeksjon er Browser Helper Objects, og i noen få tilfeller ved hjelp av datavirus eller dataormer.

(kilder til denne artikkelen: I all hovedsak basert på wikipedia.org).