Po namyśle Jaś wybrał jeden z programów nadzoru - Boss Everyware w wersji demonstracyjnej 2.43 (zhttp://boss.dids.com), głównie dzięki temu, że na stronach tego programu znalazł dokładne i komunikatywne opisy, jak zrealizować wszystkie potrzebne mu funkcje. Przede wszystkim jednak Boss pozwolił mu przygotować tzw. deploy package w postaci jednego pliku wykonywalnego (*.exe), instalującego agenta (tzw. logger) praktycznie niedostrzegalnie. Samo przygotowanie odpowiednio skonfigurowanego pakietu dystrybucyjnego było bardzo proste (zob. rys. 1) wystarczyło ustawić wszystkie konfigurowalne wielkości na wartości pożądane w instalacji docelowej, po czym nacisnąć przycisk oznaczony znakiem komputera (piąty od lewej, kwadratowy przycisk w dolnym rzędzie).

Pewien problem stanowiło zwabienie użytkowników komputerów firmy do spreparowanej witryny, ale tu Jaś zabłysnął: wymyślił sobie ankietę popularności znaczących osób w regionie: przygotował odpowiednią stronę, na której można było głosować na lokalne osobistości i zamieścił na niej nazwisko obecnego prezesa firmy i jego poprzednika. Strona (tu o nazwie Default.htm) podawała również wyniki głosowania, ale co najważniejsze, zapraszała do późniejszych wizyt - w celu zapoznania się "z pełnymi wynikami głosowania". Została zainstalowana na publicznym serwerze i od razu zaczęła się cieszyć znacznym powodzeniem (także dzięki temu, że wiadomość o niej podano w lokalnej rozgłośni radiowej). W pierwszej wersji nie było na stronie żadnych dodatkowych elementów, ale po dwóch dniach Jaś dobudował ramkę (o zerowej wysokości), w której znajdowało się opisane wcześniej łącze do pliku .elm. Dokładniej, została dodana strona o nazwie Index.htm (zob. rys. 2), powołująca dwie ramki - w jednej dawną stronę Default.htm, a w drugiej plik.elm.

Aby uniknąć alarmów, ramka była generowana przez program CGI (tu Jaś użył makropoleceń DOS-u: bat (nie miał zresztą specjalnego wyboru, bo więcej nie umiał), tylko w przypadku, gdy przeglądarką był Microsoft Internet Explorer w wersji innej niż 6.0. Jaś chciał również ograniczyć generowanie wrednej ramki tylko do pewnego, interesującego go zakresu adresów IP wizytujących komputerów, ale z tym nie potrafił sobie poradzić.

Generując program szpiegujący, Jaś wskazał (jako miejsce składowania zebranych informacji) udostępniony katalog swojego komputera (zob. rys. 1). Mógł co prawda wskazać katalog innego komputera, ale obawiał się, że jego właściciel szybko się zorientuje i zlikwiduje udostępniony udział.

Po dwóch dniach od opublikowania witryny Jaś był zaskoczony powodzeniem strony. Ponadto okazało się, że do udostępnionego udziału zaczęły napływać informacje - co oznaczało, że atak zakończył się powodzeniem. Jaś z zainteresowaniem badał gromadzone zapisy i cieszył się jak dziecko, poznając informacje, które wpisywali użytkownicy komputerów. Z przeglądu napływających informacji Jaś wywnioskował, że tych komputerów jest ok. 30, z tego większość z firmy. Wśród zaatakowanych maszyn nie było zapewne żadnej należącej do informatyka.

Tytułem wyjaśnienia

Czytelnik niezainteresowany szczegółami technicznymi (zresztą nieskomplikowanymi) może śmiało pominąć ten rozdział.

Wykorzystywana przez Nimdę podatność została opisana m.in. w Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE to Execute E-mail Attachment (http://www.microsoft.com/technet/security/bulletin/MS01-020.asp). Ten bug, zwany IFRAME, pozwala na uruchomienie wykonywalnego załącznika do przesyłki pocztowej, gdy deklarowany typ MIME tego załącznika został zmieniony na inny, akceptowany do obsługi.

Jaś umieścił w odpowiednich katalogach serwera Xitami pliki powodujące, że próba instalacji u gościa programu szpiegującego odbywała się tylko wówczas, gdy przeglądarką był Internet Explorer w wersji innej niż 6.0. Xitami zawiera dwa katalogi istotne dla publikacji: WEBPAGES, w którym umieszczane są publikowane strony WWW, oraz katalog CGI-BIN, w którym umieszczane są pliki wykonywalne i ewentualnie ich dane.

W katalogu WEBPAGES umieszczony został główny plik DEFAULT.HTM, zawierający właściwe, wyświetlane treści strony Jasia, np.:

Serwer Xitami domyślnie wyświetla przede wszystkim plik INDEX.HTM, a potem DEFAULT.HTM. Gdy Jaś postanowił uaktywnić atak, dodał w katalogu WEBPAGES plik INDEX.HTM, którego zadaniem jest tylko powołanie skryptu CGI o nazwie STRONA.BAT.