Nó khai thác lỗ hổng MIME trong một số phiên bản của Microsoft Outlook, Outlook Express và Internet Explorer để tự kích hoạt mà không cần người sử dụng phải mở file gắn kèm.
Nimda-D tự copy mình thành 2 file load.exe và riched20.dll trong thư mục gốc của Windows. Cả hai file này đều được đặt chế độ ẩn.
File hệ thống System.ini cũng bị virus sửa đổi thành shell=explorer.exe load.exe – dontrunold để nó có thể chạy mỗi khi khởi động máy.
Ngoài việc tự gửi tới các địa chỉ tìm thấy trong address book của máy bị nhiễm, Nimda-D tiếp tục quét tìm nạn nhân mới vẫn chưa cài bản sửa lỗi IIS. Khi phát hiện đối tượng, nó tự copy mình thành file httpodbc.dll và chạy chương trình.
Trên các máy chủ, Nimda-D tìm cách thay đổi nội dung các trang bằng cách gắn một đoạn javascript vào các file như: index.html, index.htm, index.asp, readme.html, readme.htm, readme.asp, main.html, main.htm, main.asp, default.html, default.htm, default.asp.
Khi đó, nếu người sử dụng truy cập vào những trang web này bằng một phiên bản IE không an ninh, thì đoạn javascript trên sẽ tự động tải về file readme.eml.
Văn Bình (theo Sopho)