Il virus Nimda è un worm noto anche con i nomi di readme.exe oppure W32.Nimd e si propaga in quattro modi diversi. E' capace di infettare i PC con sistemi operativi Windows 95, 98, Me e 2000 ed i server con Windows 2000. Il worm si diffonde come allegato delle e.mail, cercando e infettando i server Web che utilizzano il software Microsoft Internet Information Server, copiandosi sui drive condivisi in rete e allegando un programma Java Script alle pagine Web che poi si scarica sui PC degli internauti che visualizzano tali pagine.

Sulle macchine infette, il virus cancella alcuni file fondamentali e allega uno script ai file html. Inoltre, le e.mail inviate da Nimda hanno un oggetto danneggiato. Questo worm si diffonde per due diverse strade: tenta di infettare Web server Microsoft con le patch non aggiornate oppure si diffonde via posta elettronica.

Per infettare i Web Server il worm utilizza il sistema Unicode Web Trasversal e si installa su quelli che utilizzano Microsoft IIS 4.0 e 5.0. Se l'attacco va a buon fine il virus naviga tra le cartelle del Web server modificando, cancellando o copiando qualunque file in esse contenuto. Una volta che esegue il suo codice il worm si sovrascrive a Microsoft Management Console (MMC.exe), quindi infetta i programmi più comuni e maggiormente utilizzati presenti sulla macchina e listati nella chiave di registro Software\Microsoft\Windows\CurrentVersion\AppPaths.

Inoltre, modifica il file system.ini nel modo seguente: Shell = explorer.exe load.exe - dontrunold. Quindi, sostituisce i file riched20.dll.

Dopo questi danni il virus si installa come %Window\System%\load.exe dove (%Window\System%\) è un parametro variabile che solitamente corrisponde alla cartella C:\Windows\System. 

L'unico vantaggio che è possibile avere sul virus è il fatto che tutti questi cambiamenti necessitano di un reboot del sistema per avere effetto.

Nelle infezioni tramite posta elettronica, invece, il worm per attivare il suo codice necessita di essere eseguito ovvero si fa doppio click sull'allegato. Il virus, una volta attivato invia messaggi a tutti coloro che sono presenti nella Rubrica di Outlook o Outlook Express. Infine il worm modifica le impostazioni di Explorer per inibire la visualizzazione di file nascosti e di quelli con estensioni conosciute.

Una volta infettati i file, questo virus crea molti file nella cartella Windows Temporary del tipo: mep[nr][nr][letter][nr].TMP.exe oppure mep[nr][nr][letter][nr].TMP.