Los expertos de Kaspersky Lab todavía están investigando el caso, monitorizando los movimientos y la situación con el fin de analizar las metas geográficas de Duqu; aunque está resultando difícil, ya que está infectando a un número muy pequeño de sistemas muy específicos en todo el mundo.

Los expertos de la firma de seguridad, después de lleva a cabo un exhaustivo análisis del nuevo malware, han llegado a las siguientes conclusiones: Duqu es un sofisticado troyano que parece escrito por los mismos autores del gusano Stuxnet. Su principal objetivo es funcionar como una puerta trasera en el sistema y permitir el robo de información confidencial. Esta es la diferencia fundamental con Stuxnet, que fue creado para el sabotaje industrial. También es importante señalar que mientras Stuxnet es capaz de replicarse de un ordenador a otro recurriendo a varios mecanismos, Duqu es un troyano que no parece replicarse por sí mismo.

Duqu se detectó a principios de septiembre de 2011, cuando un usuario en Hungría cargó uno de los componentes del software malicioso en el sitio web de Virustotal, que analiza los archivos infectados con programas antivirus de diferentes fabricantes (incluidos los de Kaspersky Lab). Sin embargo, en esta primera muestra detectada sólo aparecía uno de los distintos componentes que conforman la totalidad del gusano. Un poco más tarde, de una manera similar, los expertos de Kaspersky Lab recibieron una muestra de otro módulo del gusano a través de Virustotal, y fue concretamente ese análisis el que permitió encontrar una semejanza con Stuxnet.

Diferencias significactivas con Struxnet

Aunque hay algunas similitudes generales entre los dos gusanos (Duqu y Stuxnet), también existen diferencias significativas. Poco después de encontrar varias variantes de Duqu, los expertos de Kaspersky Lab comenzaron un seguimiento en tiempo real de sus intentos de infección entre los usuarios de Kaspersky Security Network. Lo sorprendente fue que durante las primeras 24 horas sólo un sistema fue infectado por el gusano. Stuxnet, por el contrario, ha infectado a decenas de miles de sistemas en todo el mundo, aunque se supone que había un objetivo último, que eran los sistemas de control industrial utilizados en los programas nucleares de Irán.

La única infección del gusano entre los usuarios de Kaspersky Security Network procede de uno de los módulos que supuestamente conforman Duqu. Los casos de infección del segundo módulo que, en esencia, es un programa malicioso separado - un troyano-espía - aún no han sido encontrados. Es este módulo de Duqu en concreto el que posee la funcionalidad maliciosa, recoge información sobre la máquina infectada y también pistas sobre las pulsaciones de teclas hechas en los teclados.

Alexander Gostev, experto jefe de seguridad de Kaspersky Lab, afirma: "No hemos encontrado ningún caso de infección en los ordenadores de nuestros clientes con el módulo de Trojan-Spy de Duqu. Esto significa que Duqu puede estar dirigido a una pequeña cantidad de objetivos específicos y diferentes módulos pueden ser utilizados para desarrollar cada uno de ellos".

Uno de los misterios sin resolver de Duqu es su método inicial de penetración en un sistema: el instalador o el "dropper" necesario no se ha encontrado aún. Continúa la búsqueda de este módulo de Duqu ya que será el que ayude a encontrar el objetivo final de este programa malicioso. Todas las versiones del gusano Duqu son detectados por los antivirus de Kaspersky Lab.