这个新型W32.Nimda.A@mm蠕虫通过多种方式进行传播，几乎包括目前所有流行病毒的传播手段：

　　①通过email将自己发送出去；
　　②搜索局域网内共享网络资源；
　　③将病毒文件复制到没有打补丁的微软（NT/2000）IIS服务器；
　　④感染本地文件和远程网络共享文件；
　　⑤感染浏览的网页；

　　该蠕虫由JavaScript脚本语言编写，病毒体长度57344字节，它修改在本地驱动器上的.htm, .html.和 .asp文件。通过这个病毒，IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含，因此，不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件，这样给防范带来困难，病毒也更具隐蔽性。

　　这个病毒降低系统资源，可能最后导致系统运行变慢最后宕机；它改变安全设置，在网络中共享被感染机器的硬盘，导致泄密；它不断的发送带毒邮件。

　　与红色代码与蓝色代码不同的是，该病毒不仅针对服务器，还对windows9x系统进行感染和破坏。

　　Worms.Nimda运行时，会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录中；利用CodeBlue病毒的方法，攻击随机的IP地址，如果是IIS服务器，并未安装补丁，就会中毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。

　　Worms.Nimda运行时，会查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本。这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。

　　Worms.Nimda感染本地PE文件时，有两种方法，一种是查找所有的WINDOWS应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中)，并试图感染之，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染之。被感染的文件会增大约57KB。如果用户游览了一个已经被感染的web页时，就会被提示下载一个.eml(OutlookExpress)的电子邮件文件，该邮件的MIME头是一个非正常的MIME头，并且它包含一个附件，即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中，也可能是在别人的共享目录中，无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件，由于OutlookExpress的一个漏洞，导致蠕虫自动运行，因此即使你不打开文件，也可能中毒，相关信息请参见微软安全网站：　　　http://www.microsoft.com/technet/security/bulletin/MS01-020.asp，同时，该漏洞已有安全补丁：http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自己覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时，都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，这样，在系统每次启动时，将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

　　尼姆达病毒的特点是传播方式多，感染速度快，它通过email、共享网络资源、IIS服务器传播，同时它也是一个感染本地文件的新型病毒。其主要通过邮件传播，并能够在预览时进行感染，使计算机速度逐渐变慢，硬盘在不知情的情况下被共享、word和写字板等文档不能够正常的打开、保存或显示内存不足等提示信息。

　　根据尼姆达病毒的特点对于拥有局域网的企业级用户，建议使用瑞星网络版杀毒软件。由于“尼姆达”最大危害在于感染计算机后会改变安全设置，开放硬盘作为网络共享的资源，从而感染到服务器，将本地的文件和远程网络共享的文件全部感染。所以普通单机版的杀毒软件不可能实现全网的同步升级，安装网络版是最佳选择。

　　而对于广大单机用户及虽拥有局域网的企业级用户，但没有网络版的杀毒软件，而只有单机版杀毒软件的请按照如下的方法操作：

　　1.及时断开所有的网络连接
　　2.热启动，结束此蠕虫病毒的进程
　　3.在系统的temp文件目录下删除病毒文件
　　4.使用干净无毒的 Riched20.DLL（约100k）文件替换染毒的同名的Riched20.DLL文件（57344字节）
　　5.将系统目录下的load.exe文件（57344字节）彻底删除以及windows根目录下的mmc.exe文件；要在各逻辑盘的根目录下查找Admin.DLL文件，如果有Admin.DLL文件的话，删除这些病毒文件，并要查找文件名为Readme.eml的文件，也要删除它。
　　6.如果用户使用的是Windows NT或Windows 2000的操作系统的计算机，那么要打开"控制面板"，之后打开"用户和密码"，将Administrator组中guest帐号删除。

　　对于广大单机版用户，瑞星公司的最新版本12.43及以上版本完全可以查杀该病毒。

　　在此特请广大用户提高警惕的是，因尼姆达病毒具有传播方式多，感染速度快等特点，所以对付此类病毒要好充分的预防工作，及时打好预防此病毒的补丁程序，以防被此病毒再次感染。

查杀Nimda病毒后,彻底解决漏洞及手工修复的方案

　　针对win2000 Professional/server/Advanced server/win NT4 server

基本步骤

　　1.首先安装IIS补丁(此IIS补丁防止遭受攻击)及IE相应最新补丁(IE补丁防止浏览带毒网页时中毒

　　IIS补丁程序
　　IIS4.0
　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23667
　　IIS5.0
　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23665

　　IE补丁
　　Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
　　Internet Explorer 5.01 Service Pack 2.
　　Internet Explorer 5.5 Service Pack 2.
　　Internet Explorer 6
安全隔离

　　2.将服务器隔离,断开所有网线.

解决病毒留下的后门程序

　　3.将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除.

去掉共享

　　4.当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C、D等，应该将其共享属性去掉；

查看管理权限

　　5.另外，查看一下administrators组中是否加进了“guest”用户，如果是，请将guest用户从administrators组中删除。

查杀病毒

　　6.使用瑞星杀毒软件进行查杀，彻底清除Nimda病毒。

恢复网络

　　7.回复网络连接.

　　针对win98用户

　　只需安装相应的IE补丁程序。

　　IE补丁
　　Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
　　Internet Explorer 5.01 Service Pack 2.
　　Internet Explorer 5.5 Service Pack 2.
　　Internet Explorer 6

--注明

　　如果按照以上步骤仍无法解决问题，说明IIS补丁安装有问题，请重新安装IIS补丁。如果用户服务器不提供Web服务的话，请将Web服务停止，这样比较安全。