Nimda.D es un gusano que se transmite a través del correo electrónico, como un fichero con el nombre SAMPLE.EXE, incluido en un mensaje de correo. Solamente con la visualización (vista previa) del mensaje, el gusano incluido en él se ejecuta. Es decir, no es necesario abrir el mensaje y ejecutar el fichero adjunto para comenzar la infección, simplemente con la visualización previa del mismo, se producirá la infección. 

          El gusano localiza ficheros correspondientes a páginas visualizables desde el navegador de Internet (HTML, ASP, o HTML), para que éstas ejecuten el fichero README.EML. De esta forma, cuando se abra o visite cualquiera de estas páginas, se podrá producir la infección. 
  
  
Modo de propagación: 
  
          Nimda.D se propaga a través del correo electrónico, aprovechando una vulnerabilidad de MS Internet Explorer. Ésta consiste en la posibilidad de ejecutar un fichero de forma automática, sin la intervención del receptor del mensaje. Dicha vulnerabilidad afecta a las versiones 5.01 y 5.5 de MS Internet Explorer.  

          Esta misma vulnerabilidad afecta a las aplicaciones de correo MS Outlook y MS Outlook Express, que no se encuentren debidamente actualizadas contra dicha vulnerabilidad. 

          El mensaje de correo incluye un fichero adjunto con el nombre SAMPLE.EXE. Éste es quien porta al gusano, simulando ser un fichero del tipo audio/x-wav, codificado en formato MIME. El tamaño de este fichero es de 57344 bytes.  

          Si se encuentra activa la vista previa, el gusano se ejecuta directamente y se reenvía automáticamente a otras direcciones de correo que encuentra, tanto en la Libreta de Direcciones, como en otros ficheros temporales de Internet. 
  
 
Síntomas de infección: 

          Al ejecutarse, crea diferentes ficheros (ocultos) en el directorio temporal de Windows, cuyo contenido es básicamente el del fichero original, aunque con ligeras variaciones. El nombre de estos ficheros es MEPXXXX.TMP y MEPXXXX.TMP.EXE, donde XXXX representa una combinación aleatoria de 4 caracteres alfanuméricos (números y letras). 

          De igual forma, crea en el directorio de Windows un fichero denominado WININIT.INI, encargado de borrar dichos ficheros la próxima vez que se inicie el sistema. Por otra parte, se copia a sí mismo en el directorio de sistema de Windows, como un fichero con el nombre LOAD.EXE, al mismo que asegura su ejecución en cada arranque o reinicio del sistema. 

          Nimda.D comparte la unidad de disco duro C: e intenta extenderse a otras unidades de red. Además, busca los siguientes tipos de ficheros, para que al ser abiertos se ejecute el fichero README.EML:  

• Ficheros con extensión HTML, ASP, o HTM.
• Ficheros con alguno de los siguientes nombres: README, MAIN, INDEX, o DEFAULT.

• Aprovecha una vulnerabilidad de MS Internet Explorer 5.01 y 5.5 (así como MS Outlook y MS Outlook Express) que permite ejecutar un fichero de forma automática, sin la intervención del receptor del mensaje.  

 
• Se reenvía a las direcciones de correo que encuentra en la Libreta de Direcciones y en los ficheros temporales de Internet. 

 
• Se copia en el directorio de sistema de Windows, como un fichero con el nombre LOAD.EXE.

 
• En el fichero SYSTEM.INI, incluye una llamada al fichero LOAD.EXE que provocará la ejecución de éste en cada nuevo arranque. Este entrada, es la siguiente:

          Shell=Explorer.exe Load.exe -dontrunold
 
• El gusano crea un nuevo usuario y mediante él comparte la unidad de disco C:. Esto hace posible que el Nimda.D intente extenderse a otras unidades de red.

 
• Añade el código que permite ejecutar el fichero README.EML, en los ficheros con extensiones HTML, ASP, o HTM y en los ficheros con los siguientes nombres: README, MAIN, INDEX, o DEFAULT. Éstas páginas infectadas, pueden provocar la infección de un usuario con sólo ser visitadas. 

 
• El gusano infecta ficheros ejecutables colocando código delante y detrás del fichero original. 

          "Concept Virus(CV) V.6, Copyright (C) 2001, (This's CV, No Nimda.)"