Nombrado Duqu porque genera archivos que comienzan con ~DQ, este malware es un troyano creado como un sistema de control remoto, que ha sido usado para instalar un registrador de teclas en los sistemas infectados. En este sentido, se comporta como una botnet “tradicional” usando http y https para conectarse con su “command and control” (alojado en India), al que parece enviar información disfraza de imágenes JPG.

A pesar de las similitudes, entre Stuxnet y Duqu hay varias diferencias. La primera es que Stuxnet contenía dentro de su código la contraseña por defecto “2WSXcder” para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Duqu, por su parte, parece que simplemente se trata de un sistema de control remoto, pero que se ha encontrado en dependencias industriales europeas. Symantec cree que es un preparativo para futuros ataques de una nueva versión de Stuxnet y que fue diseñado para robar información de fabricantes de equipo industrial.

Mientras que Symantec indicó que el certificado del virus parecía ser robado, McAfee sugirió que fue falsificado como resultado de un ataque directo. Sin embargo, Duqu y Stuxnet se parecen mucho en su código. Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y SUPERAntiSpyware (5 de 41) por heurística.

Via PC World