W pięciu odsłonach

Od czasu odkrycia robaka Nimda, 18 września 2001, wykryto 5 nowych modyfikacji tego robaka sieciowego. Niektóre z nich zostały wykryte „na wolności” lecz na szczęście żadne nie spowodowały epidemii na miarę tej rozpętanej przez pierwotną wersję robaka.

Nimda.a

Oryginalny robak odkryty został 18 września 2001 r. Nimda wnika do systemu na kilka różnych sposobów. Przede wszystkim poprzez pocztę elektroniczną – zainfekowana przesyłka w formacie HTML, zawierająca kilka osadzonych obiektów, przedostaje się do docelowego komputera. Podczas przeglądania tej przesyłki jeden z nich (plik README.EXE, ok. 57 KB) jest automatycznie uruchamiany bez wiedzy użytkownika. By tego dokonać robak wykorzystuje lukę w zabezpieczeniach programu Internet Explorer wykrytą w marcu tego roku.

Drugim sposobem na wtargnięcie „Nimdy” do systemu jest wykorzystanie wspomnianej wcześniej luki w zabezpieczeniach, podczas przeglądania zainfekowanych stron WWW. Jeżeli na takiej stronie znajduje się szkodliwy program Java, pobiera on i uruchamia „Nimdę” na odległym komputerze klienta.

Trzecim źródłem ataku „Nimdy” jest sieć lokalna. Robak skanuje wszystkie dostępne zasoby sieciowe i zostawia na nich tysiące swoich kopii. Celem tych działań jest nadzieja twórcy robaka, że użytkownik po znalezieniu takiego pliku sam zainfekuje swój komputer. Poza infekowaniem stacji roboczych „Nimda” posiada jeszcze jedną funkcję: atakuje serwery Microsoft Internet Information Server (IIS). Wykorzystuje w tym celu lukę w zabezpieczeniach IIS zwaną Web Server Folder Traversal (została ona opisana w biuletynie informacyjnym firmy Microsoft).

Nimda.b

Nieco zmodyfikowana wersja oryginalnego robaka, „spakowana” narzędziem PCShrink. Nazwy plików README.EXE oraz README.EML zostały zastąpione nazwami PUTA!!.SCR oraz PUTA!!.EML.

Nimda.c

Jest to dokładna kopia oryginalnego robaka „Nimda” lecz „spakowana” narzędziem UPX.

Nimda.d

Nieco zmodyfikowana wersja oryginalnego robaka, skompresowana narzędziem PECompact. Jedyna różnica w stosunku do oryginalnego robaka, to tekst o prawach autorskich. Oryginalny tekst zastąpiono łańcuchem znaków: HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain.

Nimda.e

Ta przekompilowana wersja „Nimdy” posiada kilka poprawionych i zoptymalizowanych procedur. Ten wariant został znaleziony „na wolności” pod koniec października 2001 r. Główne różnice w stosunku do oryginalnego robaka to:

Załączony plik ma nazwę : SAMPLE.EXE (zamiast README.EXE)
Pliki DLL : HTTPODBC.DLL i COOL.DLL (zamiast ADMIN.DLL)
Oryginalny tekst o „prawach autorskich” zastąpiono łańcuchem znaków:
Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)