Từ một máy tính nhiễm virus, Dashfer gửi gói tin theo giao thức ARP (giao thức phân giải địa chỉ) tới tất cả các máy tính khác trong cùng mạng để mạo danh là Gateway của hệ thống.

Các kết nối ra Internet của tất cả các máy tính trong mạng lúc này sẽ bị lừa đi qua Gateway giả mạo trước rồi mới tới Gateway thật. Bằng cách này, Dashfer sẽ kiểm soát được toàn bộ quá trình trao đổi dữ liệu, chèn thêm banner, popup vào nội dung các trang web trước khi chúng được trả về cho máy tính của người sử dụng.

Với cách giả mạo Gateway, không phải máy tính nào có hiện tượng bị chèn banner cũng là máy nhiễm virus, máy nhiễm virus chính là Gateway giả mạo

Ông Quảng khẳng định, đối với các cơ quan có hệ thống mạng, chỉ cần một máy tính bị nhiễm Dashfer,  tất cả các máy tính khác sẽ cùng gặp phải hiện tượng như vậy, cho dù máy tính đó không nhiễm virus. Vì thế, để giải quyết triệt để, người sử dụng cần thực hiện quét virus cho toàn bộ các máy tính trong cơ quan mình.

Cách xác định máy tính nhiễm virus được thực hiện theo ba bước:

- Thứ nhất, xác định địa chỉ của máy tính giả mạo bằng lệnh arp –a hoặc dùng một phần mềm quét mạng.

- Thứ hai, dùng địa chỉ tìm được ở trên để tra cứu trên hệ thống switch, từ đó ra được vị trí vật lý của máy tính bị nhiễm virus.  

- Cuối cùng dùng Bkav để quét virus cho máy tính này.

Đại diện của BKIS cho biết, hiện những mẫu virus này đã được cập nhật vào phiên bản Bkav mới nhất.