Duqu (ausgesprochen wie "Dyükyü") wird hie und da als "Neuer Stuxnet" beschrieben. Nach Drübersicht über das
Paper von Symantec halte ich diese Umschreibung, obgleich sie in der Variante "Vorläufer zum nächsten Stuxnet" von Symantex selbst gebraucht wird, nicht für korrekt.
Wir errinnern uns: Das Virus Stuxnet war geschrieben worden, um Industriecomputer zu infiltrieren. Die Ansteckung erfolgte via USB-Drives, und eigentliches Ziel waren wahrscheinlich die Steuerungsanlagen von Siemens, die im iranischen Atomkraftwerk von Buschehr verwendet werden. Stuxnet sollte die Steuerungsanlagen so sabotieren, dass die Anlage sich durch mir nicht näher bekannte Maßnahmen (ich denke, Dinge wie Temerpaturen falsch anzeigen und so zu Überhitzung beitragen usw.) selbst zerstört. Benutzt wurde dazu ein Zero-Day-Exploit in Windows, also eine Schwachstelle, die niemand kannte und für die es zum Zeitpunkt der Attacken auch kein Patch gab. (Das hat sich natürlich inzwischen geändert. Wer seine Rechner mit allen Patches aktuell hält, kann heute von Stuxnet nicht mehr infiziert werden.)
Duqu nun macht, obgleich es offenbar teilweise den selben Quellcode benutzt wie Stuxnet (was darauf hindeutet, dass die Erschaffer mit denen von Stuxnet identisch oder mit ihnen verbunden sein dürften) etwas anderes: Es öffnet lediglich einen Kanal zum Command-and-Control-Server, dessen Adresse Symantec mit "206.[REMOVED].97" angibt. (Ein Jammer, dass sie die beiden mittleren Oktette entfernt haben; das erschwert Gegenmaßnahmen erheblich.) Über diesen Kanal können nach Ansicht der Leute von Symantec RDP- bzw. VNC-artige Funktionen ausgeführt werden, also eine komplette Fernsteuerung des betreffenden Windows-Rechners. Nach 36 Tagen löscht Duqu sich automatisch.
Wichtiger aber ist:
Der Installer wurde noch nicht gefunden! Das bedeutet insbesondere, dass jedes Tool, das "Duqu" entfernt, in Wahrheit nur ein Symptom beseitigt, weil der Installer immer noch irgendwo liegen, durch irgend einen Mechanismus aufgerufen werden und die Infektion wieder herstellen kann. Und man weiss auch gar nicht, wie sich der Installer überhaupt einschleicht - mit anderen Worten, es ist gut möglich, dass der Exploit, der dazu benutzt wird, nach wie vor anwendbar bleiben muss, weil die Schwachstelle keiner kennt und Microsoft folglich keinen Patch dafür schreiben kann!
Holzaugen, seid wachsam...