Po svém spuštění se virus zkopíruje do systémového adresáře Windows pod jmény LOAD.EXE, RICHED20.DLL a někdy i MMC.EXE (originální soubory jsou přepsány, pokud existují) Virus modifikuje také soubor SYSTEM.INI, a tak zajistí svoje spuštění při každém startu počítače. Další kopie viru jsou uloženy v dočasném adresáři a někdy i do kořenového adresáře všech lokálních disků. Virus pak vyhledává emailové adresy dalších obětí: kromě standardních způsobů (Outlook, Exchange) také prohledává soubory .HTM a .HTML.

Virus je bohužel také schopen se šířit po sdílených discích v lokální síti. Vytváří soubory s příponou .EML a .NWS ve všech adresářích, ke kterým má právo zápisu. Tyto soubory obsahují speciální MIME formu viru, která může být otevřena programem Outlook. Virus též vyhledává stránky HTML a ASP na vzdáleném počítači a pokud nějaké nalezne, vytvoří soubor README.EML a na konec webové stránky přidá krátký program v Javascriptu, který při prohlížení dané stránky tento soubor otevře. Za určitých podmínek je virus schopen infikovat i programy na vzdáleném počítači. Přidává se přitom před napadený program. Virus také otevírá všechny lokální disky pro sdílení po lokální síti, čímž snižuje bezpečnost sítě o otevírá přístup pro další škodlivé programy.

Virus kontaktuje počítače na náhodných IP adresách a zjišťuje, zda se nejedná o IIS web server, který obsahuje bezpečnostní díru známou jako Unicode vulnerability (ta byla využívána i wormem CodeBlue). Snaží se i zjistit zadní vrátka, otevřená wormem Win32:CodeRed.C. Pokud takový server nalezne, hledá na něm soubory typu HTML/ASP, které pak modifikuje výše popsaným způsobem. Napadené servery pak mohou zobrazit stránku, která uživatele vybízí ke stažení a otevření EML souboru, který obsahuje virus jako přílohu. Virus je schopen ve formě emailu proniknout i firewallem a infikovat kompletní intranetové sítě.

Virus se objevil 18. září odpoledne a během krátké chvilky se neuvěřitelně masově rozšířil. Způsobil dokonce celkové zpomalení Internetu. Aktualizace chtiví uživatelé následně vyvolali kolaps serverů několika antivirových firem. Pro řadu administrátorů přinesl virus perné chvilky – bylo totiž třeba aktualizovat nejen antivirové programy ale na všechny počítače i aplikovat příslušné záplaty, aby se podobný problém v blízké budoucnosti neopakoval. I když hlavní nápor již polevil, dodnes se Nimda z mnoha infikovaných počítačů snaží i na našich serverech nalézt způsob, jak se dále šířit.

Koncem září se Praha stala hlavním městem antivirů. Konala se zde (konkrétně v hotelu Hilton) totiž výroční konference britského časopisu Virus Bulletin, nejprestižnější akce v tomto oboru. I když byla účast zejména amerických delegátů přece jen trochu ovlivněna tragickými událostmi z 11. září, do Prahy dorazilo více než 220 delegátů a 40 přednášejících. Odborná náplň se týkala hlavně budoucnosti a nebezpečí škodlivých programů a Internetu. Všem se ale líbila i „sociální“ stránka konference – ať už šlo o prohlídku Prahy či návštěvu stylových pražských hospůdek.