Réseaux d'entreprises

C'est Nimda qui a lancé la course en combinant un exploit avec d'autres méthodes d'attaque. En plus de générer des spams, il ajoutait également le code viral de l'exploit (en JavaScript) aux fichiers HTML qu'il trouvait. Si la machine infectée s'avérait être un serveur, les utilisateurs qui se connectaient aux pages Web étaient donc infectés à leur tour. Nimda allait encore plus loin et, pour se reproduire dans les réseaux d'entreprise, il balayait le réseau local à la recherche de ressources accessibles où il déposait ses propres copies, prêtes à être exécutées par des utilisateurs confiants. Sur les machines infectées, le code malicieux transformait également les unités locales en unités de partage réseau, disponibles à distance pour des utilisateurs malveillants. Afin de couronner le tout, Nimda utilisait aussi l'exploit MS00-078 (“Web Server Folder Traversal”) pour infecter les serveurs Microsoft IIS Server vulnérables, en se téléchargeant à partir d'autres machines déjà infectées du même réseau local. En raison de cette stratégie d'attaque multilatérale, beaucoup présentent Nimda comme un exemple de menace “composite”.