Cũng theo ông Đức, mã độc biến các máy tình nạn nhân thành 'máy tính ma' được nằm trong thư mụcCommon Filescủa hệ điều hành Windows và nó khởi tạo một dịch vụ giả mạoBluetooth Serviceđể chạy lên lúc máy tính khởi động. Bkav đã tiến hành phân tích mã độc và phát hiện ra, tại thời điểm này, mã độc nhận lệnh tấn công chính xác vào các tên miền sau của báo Vietnamnet (vietnamnet.vn, m.vietnamnet.vn, batdongsan.vietnamnet.vn, m.batdongsan.vietnamnet.vn), báo Dân Trí (dantri.vn, s.dantri.com.vn, m.dantri.com.vn, dantri.com, dantri.com.vn), báo Tuổi trẻ (tuoitre.vn, sevice.tuoitre.vn, wa2.tuoitre.vn, m.tuoitre.vn, wa3.tuoitre.vn, wa4.tuoitre.vn) và khiến cho các server này tê liệt hoàn toàn, người dùng không thế truy cập được.
Bkav đã cập nhật mẫu vi rút vào phần mềm Bkav từ ngày 10/7 và thông báo cho các đơn vị liên quan để xử lí các máy chủ này. Trong số các máy chủ, chỉ có duy nhất một địa chỉ IP ở Đức.
Ông Nguyễn Minh Đức, Bkav
Bên cạnh đó, theo anh Nguyễn Hồng Phúc, một thành viên diễn đàn bảo mật HVA Online, sáng 16/7 máy chủ điều khiển đã tạm thời bị vô hiệu hóa. 'Đây là nỗ lực của diễn đàn HVA Online và cộng đồng mạng trong việc trợ giúp các trang báo điện tử Việt Nam trước cuộc tấn công lớn của tin tặc bằng hình thức DDoS trong suốt hai tuần qua', anh Phúc cho biết thêm.
Anh Phúc cho rằng, nhờ sự tích cực tham gia hỗ trợ của cộng đồng mạng mà HVA Online đã truy tìm ra mẫu vi rút, thực hiện phân tích mẫu thu thập được để truy tìm các máy chủ điều khiển tấn công các báo mạng trong thời gian qua. Trái với Bkav, anh Phúc cho rằng các máy chủ điều khiển đều đặt ở Đức.
HVA Online đã tìm được một số máy chủ phát lệnh tấn công được đặt tại Công ty Lease Web GmbH của Đức.
Anh Nguyễn Hồng Phúc, HVA Online
Diễn đàn HVA Online đã thông báo cho các nhà cung cấp dịch vụ về việc hosting của họ đang lưu trữ các máy chủ kiểm soát mạng máy tính ma ở Việt Nam. Đến sáng 16/7, các máy chủ đó đã tạm thời bị vô hiệu hóa.
Anh Phúc khẳng định, khi biết các báo bị tấn công, HVA Online đã thực hiện việc theo dõi cuộc tấn công này bằng nhiều cách, trong đó có việc cung cấpmột công cụ kiểm tra khả năng bị lây nhiễm mã độctấn công DdoS.