Minden egyes Duqu-fertőzés egyedi eset, a kártevő gazdái pedig nagyon pontosan célozzák be legújabb áldozataikat - gyanítja Alexander Gostev, a Kaspersky kiberbiztonsági cég elemzője. A Securelist oldalon közölt írásában Gostev a kártevő négy felbukkanását ismerteti. Mindegyik incidens arra utal, hogy az egész világ végigfertőzése helyett lézerpontos támadásokra használják az adatgyűjtésre specializált kódot.
Gostev szerint a Duqu egy távolról könnyen átállítható, önmagának az újratelepítésére is képes kártevő. Igény esetén a megfigyelésre használt kódot új elemekkel lehet felszerelni, és teljesen másfajta támadásra vagy károkozásra is fel lehet használni. A kártevő gazdái eddig tizenhárom különböző driver mögé rejtették el a kódjukat, amelyeket azonban fel tudnak fedezni a víruskeresők. A Duqu főelemének számító DLL fájlt azonban az esetek többségében sikerül elrejteni a védelmi szoftverek elől.
A Kaspersky szakértői először Szudánban bukkantak a Stuxnet kártevőre erősen építő Duqura. Az eddigiekkel szemben a víruskereső csupán az álcázására használt meghajtóprogramra bukkant rá. A kiberbiztonsági cég megpróbált kapcsolatba lépni a felhasználóval, ám az egyelőre nem válaszolt a megkeresésekre, így közelebbről nem vizsgálták még meg a vírusirtó által kiszúrt Duqu komponenst.
Iránba küldik kémkedni a vírust
A cég Kaspersky Security Network nevű vírusszűrő hálózata szerint a legtöbb Duqu-észlelés Iránból érkezik. Ez különösen annak a fényében érdekes, hogy a kódjában nagyon hasonló Stuxnet nevű vírust is az iszlám ország ellen irányították. Alexander Gostev, a Kaspersky elemzője két olyan esetet derített fel, ahol a fő programkomponenst nem találták meg a gépen, a kártevő driverét, konfigurációs állományait és egyelőre ismeretlen rendeltetésű részeit viszont igen. Ennél az incidensnél a Duqu egy teljesen új variánsát találta meg a szakember. A kártevő az Intel videochipjének meghajtója mögé rejtőzik el.
A kiberbiztonsági szakemberek eddig egy olyan esettel találkoztak, amely elárulhajta, hogyan terjed a Duqu. Az egyik fertőzött iráni számítógép naplófájljában szerepel pár nappal korábbról néhány kibertámadás. Az amerikai Verizon Business szolgáltatóhoz tartozó IP-címről egy olyan sebezhetőségen keresztül próbáltak bejutni a gépre, amelyet a Stuxnet is használt.