Khi phân tích một số mẫu mã độc sau vụ tấn công hệ thống của Vietnam Airlines, trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã phát hiện một số dấu hiệu tấn công các website Việt Nam. Đơn vị này đề nghị các cấp liên quan khẩn cấp chặn kết nối đến 3 địa chỉ playball.ddns.info, nvedia.ddns.info, air.dcsvn.org.
Bên cạnh đó, họ còn yêu cầu rà quét hệ thống, xoá các thư mục và tập tin mã độc. Theo đánh giá của VNCERT, các mã độc trên thuộc diện đặc biệt nguy hiểm, có thể đánh cắp thông tin và phá hủy hệ thống. Đáng chú ý, mã độc này chưa hoạt động mà ở chế độ "ngủ đông", chờ lệnh tấn công.
Một chuyên gia bảo mật độc lập cho biết, những mã độc trên có máy chủ nguồn gốc từ Trung Quốc
Tuy nhiên, danh sách trên chỉ là bề nổi, còn tiềm ẩn những mã độc khác ở những máy chủ khác mà các chuyên gia trong nước có thể chưa phát hiện ra. Cách thức hoạt động của các mã độc trên là thu thập dữ liệu gửi về máy chủ tại Trung Quốc, sau đó lập tức ngắt kết nối về máy chủ.
Chuyên gia này cho hay, cách thức hoạt động của các mã độc trên là thu thập dữ liệu gửi về máy chủ tại Trung Quốc, sau đó lập tức ngắt kết nối về máy chủ. Việc chúng lúc hoạt động lúc không gây khó khăn cho các chuyên gia trong nước.
Ngoài ra, các mã độc ẩn danh dưới dạng phần mềm diệt virus nên các quản trị viên thông thường rất khó phát hiện. Với tính chất của một cuộc tấn công chuyên nghiệp, các phần mềm diệt virus thông thường khó lòng nhận ra mã độc này.
Ngày 3/8/2016, ông Nguyễn Khắc Lịch, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT đã ký văn bản số 238/VNCERT-ĐPƯC về việc theo dõi, ngăn chặn kết nối, xóa các tập tin mã độc và gửi các đơn vị chuyên trách về CNTT các Bộ, ngành; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố Internet Việt Nam và các tổ chức ngân hàng.
