Vhodné adresy pro své rozeslání si hledá také v uložených webových stránkách a v souborech na disku. Po napadení počítače spustí proces, který v nekonečné smyčce generuje náhodné IP adresy počítačů a testuje, zda na nich není virem využitelná díra v bezpečnosti. Dokáže využít kopie systémového souboru CMD.EXE, uložené jako ROOT.EXE virem Code Red II. Postupně prochází disk a do souborů jejichž názvy současně obsahují po jednom textu z těchto sad: default, index, main, readme a .htm, .asp, .html vkládá krátký Java Script pro stažení a spuštění souboru readme.eml, jehož obsah odpovídá souboru, kterým se I-Worm/Nimda posílá mailem. Tyto soubory s příponami .eml (a případně .nws) distribuuje po adresářích na discích. Na disku zároveň rozmísťuje své kopie pod názvy MMC.EXE, LOAD.EXE, RICHED20.DLL a ADMIN.DLL. Soubor LOAD.EXE zaregistruje pro spouštění v sekci [boot] souboru SYSTEM.INI instrukcí: shell=explorer.exe load –dontrunold.
I-Worm/Nimda se též pokouší o celkové snížení bezpečnosti infikovaného počítače. Přidá účet Guest mezi administrátory, a pak všem dostupným diskům povolí sdílení. Nimda také vypíná zobrazení přípon známých typů souborů.
Jak se lze napadení tímto virem bránit? Nainstalujte si všechny bezpečnostní záplaty pro operační systém. Experti doporučují monitorovat příchozí poštu na serveru a automaticky odstraňovat zprávy obsahující přílohu README.EXE. Důležitá je také aktualizace definičních souborů užívaných antivirových programů a správná konfigurace firewallů. Poslední věcí, kterou můžete udělat je omezit či lépe zrušit sdílení síťových disků.
Pokud je váš systém tímto virem napaden, odpojte infikované počítače od lokální sítě a proveďte deratizaci prostřednictvím některého z antivirových programů. Většina producentů již aktualizovala své definiční soubory, a tak standardně užívané antivirové aplikace I-Worm/Nimda detekují a jsou schopny jej odstranit. Existuje také několik speciálních antivirových utilit, které jsou volně dostupné na internetu - např. zde. Z bezpečnostních důvodů je vhodné jakékoliv antivirové aplikace nahrávat pouze z oficiálních webových stránek známých antivirových firem. Odstraňte případná sdílení a účet Guest ve skupině Administrators. Teprve po deratizaci všech napadených počítačů a po provedení všech výše uvedených bezpečnostních opatření můžete počítače opět zapojit do lokální sítě.
Pokud byl váš počitač Nimdou infikován, tak vězte, že nejste zdaleka sami. Z více než jednoho a půl miliónu počítačů monitorovaných společností Mc Afee jich bylo infikováno virem I-Worm/Nimda více než půl miliónu. Doufejme, že zveřejněné záplaty operačního systému a antivirové programy virus brzy zastaví. Nic však není věčné, a tak za pár týdnů se zde pravděpodobně objeví nový virus – ještě zákeřnější než tento.
