赛门铁克研究人员在野外发现了一种新型蠕虫，就像Stuxnet一样，它具有攻击和削弱工业控制系统的潜力。赛门铁克研究人员在46页的白页中说，这种名为Duqu的新蠕虫与Stuxnet共享许多代码，从而使赛门铁克研究人员相信该蠕虫是由同一小组或另一个可以访问Stuxnet源代码的小组创建的。该白皮书于10月18日发布。与旨在攻击一种非常特定类型的计算机系统的Stuxnet不同，Duqu似乎没有明确的目标。

一年多以前发现的Stuxnet被认为是有史以来开发的最复杂的恶意软件之一。它损害了纳坦兹核设施的几个工业控制系统。观察家认为，这种恶意软件使的核计划推迟了几年。F-Secure首席研究官Mikko Hypponen 指出，尽管全世界的研究人员都对Stuxnet进行了分析，但是源代码“并不存在” ，并指出“只有原始作者拥有它”。

赛门铁克安全响应研究人员在Symantec Connect博客上写道：“ Duqu本质上是未来类似Stuxnet攻击的先兆。” 研究人员并未推测其起源。

考虑到开发此类工具所需的时间和资源，Lookingglass的CTO Jason Lewis告诉eWEEK，一个民族国家可能是作者。

据赛门铁克称，Duqu目前的主要目的似乎是从工业控制系统制造商那里收集情报。Duqu不会干扰受感染系统的运行，而是专注于侦察。

攻击者正在寻找信息，例如用于控制机械和其他关键操作的监督控制和数据采集(SCADA)系统设计文件，这些文件可能在攻击发电厂或工业设施时使用。自2010年12月以来，他们一直在默默监视计算机，而Duqu的活动很可能是大规模，全面攻击的先兆。

赛门铁克说：“与Stuxnet不同，这里缺少的关键是我们不知道他们在寻找什么。”

据赛门铁克称，目前，Duqu仅在受感染的系统上创建后门，并与印度某处的命令和控制服务器连接。后门精确打开了36天，此后恶意软件会自毁。

赛门铁克表示，C&C服务器似乎尚未发送任何指令。Lewis表示，较短的36天生命周期意味着有一个特定的目标。

根据McAfee对蠕虫的分析，该恶意软件安装了驱动程序和加密的DLL，它们可以充当系统上的键盘记录程序，以监视所有进程和消息。它还没有复制自身的机制。

赛门铁克研究人员于10月14日首次看到了Duqu，当时另一家与欧洲受害者合作的公司发送了样本。赛门铁克研究人员分析了该样本，并确定“全球”工业计算机已被感染。赛门铁克拒绝透露最初的受害者或安全公司的名称，也未说明受影响的受害者数量。

Hypponen在推特上说，Duqu的代码与Stuxnet重叠到一定程度，以至F-Secure的防病毒工具最初将样本标识为Stuxnet，而不是其他变体。Hypponen在F-Secure博客上补充说：“ Duqu和Stuxnet之间的代码相似性很明显。”

LogLogic的首席营销官Bill Roth告诉eWEEK， Duqu“是Stuxnet，是为通用远程访问而改装的” ，并指出“其他所有内容”都是相同的。他补充说：“任何对杜曲病毒感到惊讶的人都应该对其头部进行检查。”

McAfee研究人员Guilherme Venere和Peter Szor非常有信心Duqu由负责Stuxnet的同一位开发人员创建。他们的结论基于两种病毒都使用了相似的加密密钥和技术，注入代码和欺诈性数字证书这一事实，这些事实已发给台湾公司。数字证书密钥看起来是真实的，这也使程序看起来合法。

“很可能像以前的两个已知案件一样，该密钥不是真正从实际公司中窃取的，而是以此类公司的名义直接在CA [证书颁发机构]产生的，作为直接攻击的一部分， ” Venere和Szor写道。

McAfee Labs建议证书颁发机构仔细验证其系统是否已受到此威胁或其任何变化的影响。