Le laboratoire de recherche qui a découvert le virus Duqu a déclaré qu’il partage une bonne partie de son code source avec Stuxnet mais « a un objectif complètement différent ».
Duqu serait un « RAT » (Remote Access Trojan), un outil d’accès à distance qui ne se réplique pas. Donc il ne peut effectuer de sabotage direct de système de contrôle industriel comme le faisait Stuxnet, qui était capable de détruire physiquement les installations visées.
Ce malware aurait pour objectif de collecter des données auprès d’entités comme des fabricants de systèmes de contrôle industriels, pour pouvoir lancer plus facilemement par la suite des attaques contre d’autres entités.
Duqu possède des fichiers .sys signés avec un certificat dérobé appartenant à la société taïwanaise C-Media Electronics Incorporation. Stuxnet contenait lui-aussi des certificats volés à des sociétés taïwanaises.
Duqu est donc annoncé comme le digne successeur de Stuxnet. Actuellement, les éditeurs d’antivirus mettent à jour leurs solutions afin de pouvoir détecter le cheval de Troie repéré en Europe.
Le nouveau malware présente une originalité : il est programmé pour être actif 36 jours et s’auto-supprimer passé ce délai, afin de ne pas laisser de traces de son passage.
A noter que son nom serait en rapport avec les fichiers au préfix ~DQ créés lors de l’infection.