Os especialistas da Kaspersky Lab apresentam conclusões preliminares sobre a investigação de um novo programa malicioso, chamado Duqu. Apesar de novo, o programa compartilha semelhanças com outro que atacava instalações industriais iranianas, o Stuxnet. Embora não se saiba o objetivo final dos criadores dessa mais recente ameaça cibernética, está claro que o Duqu é uma ferramenta universal usada em ataques específicos a um número limitado de alvos, podendo ser modificado de acordo com o propósito esperado. Algumas conclusões e fatos sobre o Duqu e suas ações:

1. Até agora, os incidentes ocorreram apenas no Irã e no Sudão

2. Não existe nenhuma ligação das vítimas com o programa nuclear do Irã

3. Todo e cada incidente é único e possui seus próprios arquivos, que usam nomes e checksums (somas de verificação) diferentes

4. É usado em ataques específicos, com vítimas cuidadosamente selecionadas

5. Sabe-se que existem pelo menos 13 arquivos de driver diferentes, dos quais se tem apenas seis até o momento

6. Não foram encontrados nenhum modulo de uso ‘keylogger’. Ou nunca foi usado nesta série de incidentes em particular, ou foi criptografado, ou foi deletado dos sistemas

7. A análise do driver igdkmd16b.sys demonstra a presença de uma nova chave criptográfica, o que significa que os métodos de detecção existentes dos arquivos PNF (DLL principal) não funcionam. Está evidente que a DLL tem sido codificada de forma diferente a cada ataque. Métodos de detecção da maioria dos fornecedores de antivírus são capazes de identificar com sucesso os drivers Duqu, mas é quase 100% certo de que o componente DLL principal (PNF) passará despercebido.

8. É uma estrutura multifuncional, capaz de trabalhar com todo e qualquer número de módulos. Também pode ser totalmente customizada e é universal

9. A biblioteca principal (PNF) é capaz (export 5) de reconfigurar e reinstalar completamente o pacote. É capaz de instalar os drivers e criar componentes adicionais, gravar tudo no registro, etc. Isso significa que se houver uma conexão para ativar o  C&C e os comandos, então a infra-estrutura do Duqu em um determinado sistema pode ser alterada por completo

10. Os autores do Duqu conseguiram instalar os módulos atualizados em sistemas infectados pouco tempo antes das informações sobre este malware serem publicadas, porque ainda são descobertos drivers do Duqu criados em 17 de outubro de 2011. Não se pode descartar a possibilidade de que foram capazes de mudar o C&C

11. Não se deve descartar que o C&C conhecido na Índia foi usado somente no primeiro incidente e que existam C&Cs únicos para cada alvo, incluindo os encontrados pela Kaspersky Lab

12. Informações de que o Duqu age em sistemas infectados por apenas 36 dias não estão totalmente corretas.

Confira o post completo em: http://www.securelist.com/en/blog/208193197/The_Mystery_of_Duqu_Part_Two (conteúdo em inglês).