Nimda representerer noe grunnleggende nytt, fordi skadekoden sprer seg både fra enkeltbruker til enkeltbruker, fra enkeltbruker til webserver, fra webserver til bruker og fra webserver til webserver. Analytikerne har kartlagt fire ulike spredningsmetoder som Nimda bruker:
- e-post med smittebærende vedlegg
- skanning og smitte av sårbare webservere
- selvkopiering til delte disker i nettverket
- korrumpering av Javascript på websider som så smitter besøkende
Snorre FagerlandNormandigi.no
Oppdaterte virusvarslere vil slå alarm dersom webserveren du besøker har det skadelige skriptet.Microsoft
- Skadevirkningene er ikke så veldig store. Det verste er at alle lokale disker settes på deling. Ellers overskrives et par standardfiler i Windows, blant annet riched20.dll som blant annet Word bruker til å lese rtf-formatet. En annen virkning er økningen av den internasjonale trafikken mot port 80.
Trafikkøkningen skyldes at smittede klienter og servere prøver å oppdage servere som ikke har de siste oppgraderingene til Microsofts webserver IIS, og smitte dem med korrumpert Javascript og den smittebærende filen som Javascriptet skal sørge for å overføre til nettstedets besøkende.
- Vi har logget en trafikkøkning som minner om Code Red i dens velmaktsdager. Angrepene ser ut som helt alminnelige hackerskanninger.
Fagerland mener det er et hell i uhellet at skadevirkningene ikke er verre.
- Poenget er at spredningen er så effektiv, at den spres fra både klienter og servere til både klienter og servere. Med riktig nyttelast kunne store porsjoner av Internett vært mørklagt.
