Червь Duqu, результаты анализа которого опубликовала на прошлой неделе венгерская лаборатория Crysys, обладает многими особенностями Stuxnet. Его главный модуль состоит из трех компонентов: драйвера режима ядра, вставляющего вызовы динамической библиотеки (DLL) в системные процессы, самой библиотеки, которая выполняет функции связи с командными серверами и другие системные задачи, и конфигурационного файла. У Duqu чрезвычайно гибкая архитектура. Он может загружать новые версии своих компонентов, менять командные сервера и устанавливать другие компоненты, причем при каждом заражении он генерирует по-новому зашифрованные библиотеки, из-за чего антивирусные программы способны найти драйверы Duqu, но не его главные модули.
Специалисты полагают, что Duqu предназначен для целевых атак на заранее выбранные системы. Впрочем, никакой информации, подтверждающей связь известных зараженных систем в Иране и Судане с ядерными объектами или сертификационными центрами, как бывало раньше, пока нет.