duqu

Duqu最早出現在2011年9月，是繼Stuxnet蠕蟲後最為惡性的一種可竊取信息的蠕蟲，大多數Duqu出現在工控系統中。

Duqu蠕蟲是Stuxnet之後最受關注的惡意程式。對原始碼的最新分析顯示程式設計師有點幽默感。卡巴斯基安全研究人員在代碼中發現了復活節彩蛋，它包含了一行著作權聲明“Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter”，Dexter是指美劇《嗜血法醫》，在Showtime電視台放映。

代碼分析還顯示Duqu可能有4年歷史，它載入的一個驅動的編譯時間是2007年8月31日。不過這可能並不正確，因為Duqu是一種定製攻擊框架，它的不同組件是在不同時間創造的。研究人員還發現，Duqu最常攻擊的時間發生在周三，這可能意味著它確實是一種軍用類型的惡意程式。攻擊者非常謹慎，每組不同的檔案使用不同的命令和控制伺服器。

Duqu木馬造成網路犯罪增多，它是之前有名的工業惡意軟體Stuxnet的姊妹惡意軟體。它們都採用了各種各樣的加密密鑰 - 包括一些在Duqu之前，還未曾公開過的密鑰，注入技術，零日漏洞，以及使用偷來的證書做為其驅動程式進行簽名。但與Stuxnet不同的是，Stuxnet的主要目的是造成工業破壞，而Duqu木馬則被用來收集與其攻擊目標有關的各種情報。

可以說，Duqu木馬可以盜取目標系統中的所有信息，然而，從其發動的攻擊情況來看，它似乎只對收集密碼、抓取桌面截圖（暗中監視用戶的操作）、盜取各類檔案感興趣。這些行為預示著網路罪犯使用的技術將開啟一個新的時代，網路犯罪將有足夠的能力成功執行工業間諜活動，甚至綁架與勒索。

目前，業界針對Duqu木馬最大的疑團是該惡意程式感染計算機後，是如何同命令控制中心(C&C)進行通訊的。Duqu木馬用於同C&C通訊的模組是其有效負荷DLL的一部分。對該有效負荷DLL進行全面的分析後，卡巴斯基實驗室的研究者發現該DLL中存在一段特定採用一種未知程式語言編寫的代碼，其唯一功能就是同C&C進行通訊。卡巴斯基實驗室的研究人員將這一段未知代碼命名為“Duqu架構”。事件驅動架構是作為Duqu框架的一部分或者是"OO C"的擴展而開發。

同Duqu木馬的其它組件不同，Duqu架構並不是採用C++編寫，也沒有使用微軟的Visual C++ 2008進行編譯，很可能其編寫者使用了一種內部架構，生成了媒介C代碼，或者他們使用了一種完全不同的程式語言。此外，卡巴斯基實驗室研究人員已經確認該語言為面向對象式語言，並且能夠自行執行其相關行為，而且適合網路套用的開發。

Duqu架構所使用的語言高度專業化，能夠讓有效負荷DLL同其它Duqu模組獨立，通過多種途徑包括Windows HTTP、網路連線埠和代理伺服器同C&C建立連線。還能夠讓有效負荷DLL直接處理來自C&C的HTTP伺服器請求，甚至可以在網路中的其它計算機上傳播輔助惡意代碼，實現可控制並且隱蔽的感染手段，殃及其它計算機。