Nach einer gründlichen Analyse haben die Experten von F-Secure eine Anzahl von Fakten zusammengetragen:
Duqu nutzt eine bislang unentdeckte Schwachstelle im Windows-Kernel. Einen Patch für diese Schwachstelle gibt es noch nicht.
Duqu hat keinen eigenen Verbreitungs-Algorithmus. Bislang wurde Duqu als Datei-Anhang, verborgen in Office-Dokumenten, per E-Mail verschickt: Eine primitive, aber bis zum heutigen Tag effektive Methode.
Duqu wurde bislang nur gezielt gegen einzelne Organsiationen eingesetzt. Nach Ansicht von Experten kursiert Duqu nicht in freier Wildbahn.
Duqu nutzt gestohlene Zertifikate, um Warnhinweise bei der Installation eigener Treiber zu vermeiden.
Nach erfolgreicher Infektion setzt sich Duqu mit einem Command & Control Server in Verbindung und holt sich dort weitere Anweisungen, und lädt dann jeweils benötigte Programmteile nach. In einem aufgedeckten Fall handelte es sich um eine Routine, mit der Daten gestohlen, verschlüsselt und in JPG-Fotos eingebettet wurden, mit denen sie dann an den C & C-Server geschickt wurden.
Duqu löscht sich und eventuell erzeugte Daten nach 30 Tagen selbst, um keine Spuren zu hinterlassen.
Die Komplexität der Software und ihr bislang hoch gezielter Einsatz, sowie einige technische Übereinstimmungen mit dem Stuxnet-Wurm lassen den Schluss zu, dass sie im Auftrag einer Regierungsbehörde verschickt wurde.
Das individuelle Risiko einer Infektion mit Duqu ist derzeit gering. Das wird sich ändern, wenn Microsoft einen Patch veröffentlicht: Aufbauend auf einer Analyse dieses Patches werden dann auch gewöhnliche Kriminelle in der Lage sein, die Schwachstelle im Windows-Kernel auszunutzen - ein zeitnahes Patchen ist also unbedingt angeraten.
