ユーザーが "Yes"をクリックしようが、"No"をクリックしようが、MIMEエンコードされたバイナリーファイルは、README.EXEの実行ファイルが含まれる、README.EMLファイルをダウンロードし、実行しようとする。Readme.exeが実されると、ワームは自身のコピーを load.exeとして Windows のSystem folderにインストールする。また、WindowsのTemporary directoryに MEPxxxxxx.TMP (xxxxxxはランダムな文字及び数字の組み合わせ)という名称の一時ファイルを作成する。また、ワームは、WordPadのような リッチ・エディット・テキストのフォーマッティングを使用するアプリケーションが利用する riched20.dllファイルを上書きしてしまう。また、感染したコンピューターが再起動する際、load.exeが実行されるよう、system.iniファイルも変更してしまう。 Nimda.Aは Outlook及び Outlook Express内の MAPI機能を利用し、感染したコンピューターの受信トレイのメールを読み取り、新しいメールアドレスを探す。その後、ワームは自身が持つ簡単な SMTPエンジンを利用し、他のメールユーザーに自身のコピーを送信する。また、Nimda.Aはネットワーク接続を利用し、自身の感染を広めようと試みる。ワームは、有名な Unicode Web Traversal という脆弱性を活用し、IISサーバーの感染を試みる。パッチを当てていない IIS 4.0/5.0のウェブサーバーは、変形した URLを送信することによって、サーバー上でプログラムを実行してしまうという攻撃手段を許す。この脆弱性が活用された場合、ワームは tftp (trivial file transfer protocol)を利用して自身を ADMIN.DLLとしてウェブサーバーにコピーする。tftpは、特にセキュリティ機能を利用することなくファイルを転送してしまう。その後、ADMIN.DLLは実行され、ワームはウェブサーバーに感染する。
ワームは、感染したサーバー内の HTM、HTML、及び ASPファイルを検索する。ワームによってこれらのファイルは変形され、その結果、変形ファイルをウェブブラウザーで閲覧したコンピューターに、MIMEエンコードされたワームのコピーがダウンロードされる。このダウンロードされたファイルは、上記のような Outlook Expressのメールファイルの形を取る。
更に Nimda.Aは、感染したコンピューターのハードディスクの各フォルダに、MIMEエンコードされた自身のコピーを、readme.elmまたは .nws拡張子のファイルとしてインストールする。また、ワームはネットワーク接続を通し、他のコンピューターに自身のコピーをインストールすることを試みる。ワームは、感染したシステムのネットワーク共有をオープンし、他コンピューターにリモートアクセスを許可させる。ワームは、感染したシステムに MMC.EXEまたはランダムに選んだ正規の実行ファイルをコピーする。最後に、Guests and Administratorsのグループに "guest"という名称のユーザーを追加し、"guest"のアカウントに管理者権限を付与する。