尼姆达病毒（Nimda）是典型的蠕虫病毒，病毒由JavaScript脚本语言编写，病毒通过email、共享网络资源、IIS服务器、网页浏览传播，修改本地驱动器上的.htm，.html和.asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。该文件将尼姆达蠕虫作为附件，不需要拆开或运行这个附件病毒就被执行。

尼姆达病毒2001年9月18日在全球蔓延，传播性非常强的恶意病毒。以邮件、主动攻击服务器、即时通讯工具、FTP协议、网页浏览传播。能够通过多种传播渠道进行传染。对于个人用户的PC机，“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进行传染。对于服务器，“尼姆达”则采用和红色代码病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源，因此许多企业的网络受到很大的影响，甚至瘫痪，个人PC机速度也会有明显的下降。

尼姆达病毒发送染毒邮件，还会感染EXE文件。当时声称能处理该病毒的反病毒公司（杀毒软件）都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行。

W32.Nimda.A@mm蠕虫通过多种方式进行传播，流传播手段：

Worms.Nimda运行时，会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并发送邮件；搜索网络共享资源，并将病毒邮件放入别人的共享目录中；利用CodeBlue病毒的方法，攻击随机的IP地址，如果是IIS服务器，并未安装补丁，就会感染该病毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。

Worms.Nimda运行时，会查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本。这样，每当该网页被打开时，就自动打开该染毒的readme.eml。

Worms.Nimda感染本地PE文件时，有两种方法，一种是查找所有的Windows应用程序（在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中），并感染，但不感染WINZIP32.EXE。

第二种方法搜索所有文件，并试图感染之。被感染的文件会增大约57KB。如果用户游览了一个已经被感染的web页时，就会被提示下载.eml（OutlookExpress）的电子邮件文件，该邮件的MIME头是一个非正常的MIME头，并且它包含一个附件，即此蠕虫。

该邮件通过网络共享，Windows的资源管理器中选中该文件，Windows将自动预览该文件，由于OutlookExpress漏洞，导致蠕虫自动运行，因此即使不打开文件，也会感染病毒。当病毒执行，它会在Windows目录下生成MMC.EXE文件，并将其属性改为系统、隐藏。病毒会用自己覆盖SYSTEM目录下的Rlched20.DLL，Rlched20.DLL文件是Office套件运行的必备库，写字板等也要用到这个动态库，任何要使用这个动态库的程序启动，就会激活该病毒。病毒将自己复制到system目录下，并改名为load.exe，系统每次启动时，自动运行该病毒。病毒会以超级管理员的权限建立一个guest的访问账号，以允许别人进入本地的系统。病毒改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

尼姆达病毒定位系统中exe文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些文件的时候，病毒进行传播。

尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给这些地址，这些邮件包含一个名为eadme.exe的附件，系统（NT及win9x未安装相应补丁）中该eadme.exe能够自动执行，从而感染系统。

尼姆达病毒还会扫描internet，试图找到www（万维网）主机，找到服务器，病毒便会利用已知的系统漏洞来感染该服务器，发送成功，蠕虫将会随机修改该站点的web页，当用户浏览该站点时，便会感染。

尼姆达病毒搜索本地网络的文件共享，文件服务器或终端客户机，安装一个隐藏文件，名为riched20.dll到每一个包含doc和eml文件的目录中，当用户通过word、写字板、outlook打开doc或eml文档时，该应用程序将执行riched20.dll文件，从而感染。该病毒还可以感染远程的在服务器被启动的文件。

尼姆达Ⅱ（nimda.E）命名为：Worm.Concept.118784（尼姆达2）。病毒作者在病毒源代码中有一段说明：ConceptVirus（CV）V.6,Copyright（C）2001,（This’sCV,NoNimda.

在尼姆达病毒基础上改进了附件名Readme.exe改为Sample.exe。感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll。在NT/2000及相关系统，病毒拷贝自己到Windows的system目录下，不叫mmc.exe，而用Csrss.exe的名字。

没有网络局域网的企业级用户，没有网络版的反病毒（杀毒软件），清除作操方法：