Tout d’abord, il existe tout un «bestiaire» des maliciels où l’on distingue précisément un ver (worm), d’un virus, d’un cheval de Troie (trojan), etc.
Franchement ... on s’en fiche un peu.
Vous aurez toujours un puriste pour vous dire «non ce n’est pas un virus, c’est un ver». Mais le paysage actuel de la menace fait que les programmes malveillants que l’on dépose sur votre ordinateur sont pratiquement toujours protéiformes. Ils sont à la fois des chevaux de troie, des rootkit, des virus, ...  
Donc en utilisant le terme générique «maliciel» (malware en anglais, contraction de malicious software), vous parlez de cette catégorie en entier et ce niveau de précision sera pratiquement toujours pertinent. En utilisant le terme «virus», vous le serez moins, mais on comprendra quand même de quoi vous voulez parler.

Bien maintenant : que fait un maliciel ?
Ça peut être tout un tas de malversations (en général c’est plusieurs à la fois), les plus communes sont :

• permettre à un pirate de prendre le contrôle de votre machine à distance
• espionner votre activité (navigation internet, webcam, micro, ...)
• voler vos informations importantes : mots de passe, numéros de CB, clé WiFi enregistrées, accès VPN de l’entreprise, etc.
• chiffrer vos données pour ensuite vous demander une rançon
• exfiltrer vos données pour ensuite les revendre ou vous demander une rançon contre le fait de ne pas les divulguer
• installer une porte dérobée sur votre ordinateur, permettant de récupérer un accès si vous arriviez à supprimer le maliciel
• essayer de se répliquer sur d’autres ordinateurs du réseau où vous êtes connecté
• détruire les données et le système d’exploitation pour que votre ordinateur devienne inopérant
• etc.

Peut être allez vous demander : «c’est pas un peu comme un exploit ?».
Pas exactement.
L’exploit permet d’exploiter une vulnérabilité pour ... faire ce qu’on veut ensuite. Le maliciel ça va plutôt être la partie «faire ce qu’on veut ensuite». Donc, plus précisément, ce qu’il se passe c’est qu’un pirate va utiliser un exploit pour installer un maliciel sur le système vulnérable. L’exploit agit un peu comme la clé permettant de rentrer par effraction. Et le maliciel c’est l’intrus (il peut casser des trucs, voler des trucs, mettre des micros, etc.).
MAIS !
Nous avons dit qu’un maliciel pouvait chercher à se répliquer sur d’autres machines du réseau. Souvent, pour ce faire, il va devoir embarquer des exploits permettant d’exploiter les éventuelles vulnérabilités de ces autres machines du réseau.
Donc pour être plus complet, on devrait dire que l’exploit sert à installer le maliciel sur la cible, maliciel qui peut comporter lui-même des exploits.

Je vous invite à aller lire la partie «Kill chain» pour plus de détail sur le déroulement typique d’une attaque.