A peine découvert, Nimda est déjà une star. Parasite hybride, il intègre plusieurs méthodes de reproduction très efficaces. A la manière d’un virus voyageant par email, Nimda arrive chez l’internaute sous la forme d’une pièce jointe (README.exe) associée à un courrier sans objet. Il semble cependant que le virus parvienne sous certaines conditions à rendre la pièce jointe invisible sous Outlook. Pour les autres, il s’agira d’un pseudo document audio (audio/x-wav). Une fois le poste de travail infecté, Nimda recherche sur le réseau local d’autres PC dont les disques durs sont partagés, afin de les infecter à leur tour.Vient ensuite une seconde phase d’exploration, tournée elle vers Internet. Le ver y recherche des serveurs web IIS de Microsoft vulnérables à une faille bien connue.Ce n’est qu’une fois le serveur piraté que Nimda fait preuve d’un peu d’originalité : le parasite modifie alors les documents HTML hébergés afin qu’à chaque ouverture par un navigateur web, une copie du virus soit téléchargée automatiquement. Encodé au format MIME, le virus se présente alors sous la forme d’un courrier électronique infecté pour Outlook Express, téléchargé directement depuis le serveur web contaminé. Nimda insère pour cela quelques lignes de code Javascript aux documents .htm, .html et .aspEn combinant autant de méthode d’infection différentes et, surtout, inattendues, Nimda s’assure une diffusion rapide. Si beaucoup d’utilisateurs se méfient désormais d’une pièce jointe suspecte, ils demeurent en revanche totalement démunis face au téléchargement automatique d’un document au format MIME, ou même à la notion de disques partagés sous Windows.Aux premières heures de sa découverte, Nimda semble se propager rapidement. Il demeure toutefois de nombreuses zones d’ombre sur la technique utilisée par le virus pour forcer l’internaute, par exemple, à lire le document téléchargé depuis un site web infecté. Peu d’informations précises sur le fonctionnement de Nimda sont actuellement disponibles. A l’heure de la rédaction de cette brève, seuls Symantec et Network Associates offrent une analyse suffisement détaillée du parasite. D’autres éditeurs, tels Fsecure et Sophos, se contentent d’une alerte à leur clients, précisant que l’analyse est en cours.Le correctif destiné à empêcher Nimda d’infecter les serveurs IIS est disponible sur le site de Microsoft.