ما يک فايل دريافت کرديم که در ابتدا خيلي بي ضرر به نظر ميرسيد اما در يک بررسي ابتدايي مشخص گرديد که اين فايل يک ورژن جديد از بد افزار W32.Duqu مي باشد. اين فايل حاوي يک جزئي از بد افزار Duqu مي باشد. اين فايل در زمان روشن شدن کامپيوتر فعال شده و بد افزار را به طور کامل بارگزاري ميکند. (بد افزار اصلي به صورت يک فايل رمزگذاري شده در هارد مي باشد.) فايل مورد نظر (Driver file.sys) در شکل ذيل نشان داده شده است.
همانطور که مي بينيد اين فايل يک قسمت کوچکي از فايل اصلي ميباشد و ما مانيتور نمودن فعاليت اين بد افزار را براي يافتن مابقي کدهاي مخرب ادامه داديم.
از آنجايي که تاريخ کامپايل اين بد افزار 23 فوريه 2012 ميباشد ميتوان نتيجه گرفت که مدت زمان زيادي از تاريخ ساخت آن نمي گذرد. با چک نمودن کدهاي اين بدافزار جديد مشخص شد که سازنده و يا سازندگان آن، کدها را فقط در حدي که اين بدافزار بتواند از ديد نرم افزارهاي امنيتي پنهان شود تغيير داده اند. که به نظر ميرسد تا حدي نيز موفق بوده اند.
يکي از تغييرات مهمي که در اين نسخه جديد داده شده تغيير الگوريتم رمزگذاري آن ميباشد. که در شکل ذيل قابل مشاهده ميباشد.
تغيير ديگر اين ورژن جديد در نوع signed نمودن آن ميباشد. به نحوي که در نسخه قبلي بدافزار توسط يک certificate دزديده شده singed شده بود در صورتي که در اين نسخه جديد اين اتفاق رخ نداده است. اطلاعات ورژن جديد نسبت به ورژن قبلي کاملاً متفاوت بوده و اطلاعات يک Microsoft Class Driver را به خود اختصاص داده است.
نسخه مورد بحث اولين نسخه يافت شده در سال 2012 مي باشد و نسخه هاي قبل در زمانهاي ذيل يافت شده است.
2010-11-03
2011-10-17
گر چه ما اطلاعات کاملي از اين بد افزار نداريم ولي اين نسخه جديد نشان دهنده فعال بودن اين بد افزار ميباشد. بدون داشتن تمامي کدهاي مخرب غير ممکن است که ما متوجه شويم که آيا کد جديدي به بد افزار اضافه شده است و يا خير. آخرين نسخه اين دسته از بدافزارها در سال 2011 ديده شده اند.
