به این بدافزار که نام Win32/Nemim داده شده است، از جنبه دیگری نیز جالب و غیرعادی است. این بدافزار از نوع بدافزارهای “دریافت کننده” (Downloader) است. این نوع بدافزارها اغلب از یک فایل اولیه تشکیل می شوند که وظیفه آن قرار گرفتن بر روی کامپیوتر قربانی و ارتباط با مرکز فرماندهی خود جهت دریافت فایل های مخرب و آلوده اصلی است. ولی در بدافزار Nemim، فایل اولیه علاوه بر دریافت فایل های آلوده بعدی، خود نیز یکی از اجزای مخرب و آلوده کننده است.
قابلیت حذف اجزا و فایلهای بدافزار دردسر بزرگی برای کارشناسانی است که می خواهند عملکرد و رفتارهای بدافزار را بررسی و شناسایی کنند. با حذف اجزای مختلف بدافزار دیگر امکان تجزیه و تحلیل آن بخش از بدافزار وجود نخواهد داشت. حتی در صورت تلاش برای بازیابی فایل های حذف شده بر روی کامپیوتر آلوده، می توان ردپای فایل ها را مشاهده کرد و همیشه امکان بازیابی سالم و کامل آنها نیست.
بدافزارهای امروزی از روش های جدیدی برای مخفی نگه داشتن خود و عملیات مخرب خود استفاده می کنند. علاوه بر روش بدافزار Nemim که با حذف اجزا و فایلهای خود، ردپای فعالیت های مخرب خود را پاک می کند، روش های دیگری نیز توسط بدافزارهای مختلف بکار گرفته می شوند. از جمله می توان به قابلیت شناسایی محیط های قرنطینه، مجازی و یا “جعبه های شنی” (sandbox) توسط بدافزارها اشاره کرد. این نوع محیط ها که امروزه توسط کارشناسان امنیتی برای کنترل رفتار و مشخصه های فایل های مشکوک بکار می روند، قابل شناسایی توسط برخی بدافزارها بوده و به محض تشخیص اینکه در چنین محیطی قرار گرفته اند، رفتارهای عادی و بی خطری از خود نشان می دهند. اخیراً نیز بدافزاری مشاهده گردیده که فقط در هنگام کار کردن کاربر بر روی کامپیوتر، فعال می شود و همزمان با کلیک های کاربر، اقدامات مخرب خود را بطور هماهنگ انجام می دهد.
با این حال، کارشناسان مایکروسافت موفق شده اند که دو بخش از بدافزار Nemim را شناسایی کنند. یکی از این دو بخش، آلوده کننده فایل است و بخش دیگر، سرقت کننده رمزهای عبور می باشد.
بدافزار Nemim از طریق فایلی به نام igfxext.exe منتشر می شود که در ظاهر یکی از فایل های مربوط به کارت گرافیکی است.