Reportado el 30 de octubre de 2001, algunos fabricantas la consideren como la .D y otros como la .E, todo depende de si los laboratorios han contabilizado o no como variante la que era exactamente igual que el virus original pero el adjunto llegaba comprimido. 

Su autor ha arreglado algunos errores de programación que impedían que desarrollase ciertas acciones. Además, también ha sido modificado parte del texto del código que ahora incluye la siguiente leyenda: "Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)".

En esta ocasión, el mensaje llega sin asunto ni contenido, sólo con un adjunto de nombre SAMPLE.EXE, que simula ser un archivo tipo audio/x-wav codificado en formato MIME, que es el que contiene el gusano. Advertir que como ya ocurría con Nimda, la infección es automática desde el momento en el que se previsualiza el mensaje, algo que consigue explotando algunas vulnerabilidades presentes en determinadas versiones de los programas de correo Outlook, Outlook Express, en Internet Explorer (IE) y en en el software Internet Information Server (ISS) de Microsoft. Merece la pena recordar que están expuestos a este código maligno los sistemas operativos Windows 95/98/NT/Me/2000/XP y que el gigante informático dispone, desde hace tiempo, de los parches que corrigen los agujeros de seguridad que aprovecha Nimda y todas sus variantes.

La infección de Nimda.E se lleva a cabo:

- Se copia en la carpeta C:WINDOWS con los nombres LOAD.EXE y RICHED20.DLL (ambos con atributos de ocultos) y en otros equipos compartidos en redes LAN. 
- Altera el archivo SYSTEM.INI, con el fin de ejecutarse cada vez que se reinicie el equipo, agregando la línea "shell=explorer.exe load.exe -dontrunold". 
- Crea un nuevo usuario con derechos de acceso a la unidad C:, lo que favorece que Nimda.E se extienda a otras unidades de red. 
- Añade un código que permite ejecutar el archivo README.EML en los archivos con extensiones .HTML, .ASP o HTM así como en los que aparezca el nombre README, MAIN, INDEX o DEFAULT (lo que hace que el usuario se contagie por visitar estas páginas que contienen el virus siempre que tenga instalada una versión insegura de IE). 
- Busca servidores bajo ISS de Microsoft y cuando el sistema es vulnerable se copia en el archivo HTTPODBC.DLL y lo ejecuta. Este archivo, existente en equipos que tienen instalado Windows NT/2000 bajo ISS, se utiliza para acceder y controlar todos los sitios web con protocolo HTTP. En otros servidores, el gusano se copia en la carpeta C:\WINDOWS con el nombre CSRSS.EXE.

La rutina de Nimda.E no termina hasta que el sistema se reinicia, entonces el gusano tomará el control del servidor o el PC infectado para lanzar ataques de denegación de servicio (DDoS), lo que ralentizará también la navegación por Internet.