19 septembre 2001 - W32/Nimda-A est un virus Windows 32 qui se propage via e-mail, partages réseau et sites Internet.
Le virus W32/Nimda-A peut infecter les utilisateurs des systèmes d'exploitation Windows 95/98/Me ainsi que Windows NT et 2000.
Les e-mails affectés ont une pièce jointe nommée README.EXE. Le virus essaie d'utiliser une faille MIME dans certaines version de Microsoft Outlook, Microsoft Outlook Express, et Internet Explorer qui permet d'exécuter automatiquement un fichier exécutable sans que l'utilisateur ne double-clique sur la pièce jointe.
Le virus se copie dans le répertoire Windows sous les noms de fichier load.exe et riched20.dll (ayant leurs attributs de fichier configurés à "caché"), et essaie de se propager via les partages réseau.
Le virus change le fichier System.ini pour inclure la ligne

shell=explorer.exe load.exe -dontrunold
pour qu'il s'exécute au démarrage de Windows.
Le virus se fait suivre à d'autres adresses e-mail trouvées sur l'ordinateur. De plus, le virus recherche des serveurs Internet IIS étant touchés par la faille Unicode Directory Traversal. Il essaie d'altérer le contenu des pages de tels serveurs, recherchant les noms de fichiers suivants :
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp

S'il trouve l'un des fichiers ci-dessus sur le serveur Internet, le virus essaie de modifier le contenu du fichier, ajoutant une section de code Javascript malveillant à la fin du fichier.
Si le site Internet est alors visité par un utilisateur avec une version non sécurisée d'Internet Explorer, le code malveillant télécharge automatiquement un fichier nommé readme.eml sur l'ordinateur de l'utilisateur - qui est alors exécuté, faisant suivre le virus une fois de plus.
Le virus contient le texte suivant : "Copyright 2001 R.P.China".
Nous conseillons aux utilisateurs dont les serveurs web ont vu leur sécurité compromise par Nimda de remplacer tous leurs fichiers modifiés, et de réaliser un audit de sécurité complet. L'un des exploits de Nimda pour attaquer les serveurs repose sur les trous laissés derrière eux par les précédentes attaques de W32/CodeRed-II ; d'ailleurs, Nimda lui-même essaie d'ouvrir des trous de sécurité supplémentaires, tels que l'attribution de pouvoirs d'administration à l'utilisateur "invité", alors que le compte administrateur est supposé être celui ayant le niveau de restrictions le plus élevé. Microsoft a publié un patch de sécurité conçu pour sécuriser IIS contre la vulnérabilité transversale du dossier de serveur web. Il est disponible sur http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
. Microsoft a par ailleurs publié un patch qui vous assure contre la vulnérabilité des entêtes MIME incorrectes, téléchargeable depuis http://www.microsoft.com/technet/security/bulletin/MS01-020.asp. Pour plus d'informations pour protéger vos systèmes contre Nimda, veuillez suivre ce lien : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp. Microsoft a publié des correctifs contre ses failles dans ses produits à l'adresse suivante : http://www.microsoft.com/technet/itsolutions/security/current.asp.