Win32.Nimda.A

Win32.Nimda是一種利用已知Internet Explorer和IIS系統的漏洞來進行傳播的Internet 蠕蟲。它也象檔案型病毒那樣可以感染Win32執行檔和以html, htm, asp 為擴展名的檔案。

通過一個特定MIME 頭的HTML 郵件;

通過瀏覽一個已受感染系統的WEB站點;

通過打開網路共享;

通過一個未打補丁的 IIS 系統 ( 4.0 和 5.0).

當用戶瀏覽一個攜帶有蠕蟲的HTML郵件，或訪問一個被感染的WEB站點，Internet Explorer 會下載一個執行Nimda.A 代碼的附屬檔案程式（ readme.exe ）。這種情況的產生是因為微軟Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱點。這個安全漏洞的詳細描述和相應補丁可參見：

對於運行IIS的系統，蠕蟲可能利用如下HTTP安全漏洞:　Microsoft IIS 4.0/5.0檔案許可規範漏洞（ File Permission Canonicalization Vulnerability ）

Microsoft IIS/PWS 字元逃離解碼命令執行漏洞（Escaped Characters Decoding Command Execution Vulnerability ）

Microsoft IIS 和 PWS 擴展統一編碼目錄可通過漏洞（Extended Unicode Directory Traversal Vulnerability ）

蠕蟲通過任意選擇的IP位址查找有漏洞的Internet 伺服器。這個地址的產生和進行的掃描是由一個名為mmc.exe 的進程來執行的（mmc.exe 檔案被蠕蟲本身的副本所覆蓋）。當mmc.exe 進程執行的時候，Win NT/2000用戶可能會明顯感到系統性能變慢。此外，蠕蟲會把自身複製為Admin.dll 檔案到所有驅動器的根目錄。（蠕蟲會把Admin.dll 標記為真的DLL檔案）

當蠕蟲連線到受害機器的後，會搜尋所有目錄並通過在檔案中加入一行JavaScript 代碼來感染htm, asp 和 html檔案 。在感染成功的每一個目錄中，蠕蟲都會生成含有它自身MIME 代碼格式的檔案readme.eml 或 readme.nws。當一個受感染的htm* 或 asp檔案被打開後蠕蟲將在這些MIME檔案中被執行。此外,蠕蟲病毒還會生成許多*.eml的檔案.

蠕蟲會感染Win32執行檔（Winzip32.exe 檔案除外），並讓這些受感染的程式使用原來的圖示。

在感染的 Win9x 系統上，蠕蟲為了在下一次能被執行，會複製自身為load.exe 檔案到Windows 的系統目錄下，並修改system.ini 檔案:

Shell=explorer.exe load.exe -dontrunold

Nimda.A也會以一個合法的檔案名稱riched20.dll複製自身到含有.DOC檔案的目錄中。