duqu　　Duqu最早出现在2011年9月，是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫，大多数Duqu出现在工控系统中。Duqu蠕虫是Stuxnet之后最受关注的恶意程序。对源代码的最新分析显示程序员有点幽默感。卡巴斯基安全研究人员在代码中发现了复活节彩蛋，它包含了一行版权声明“Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter”，Dexter是指美剧《嗜血法医》，在Showtime电视台放映。代码分析还显示Duqu可能有4年历史，它载入的一个驱动的编译时间是2007年8月31日。不过这可能并不正确，因为Duqu是一种定制攻击框架，它的不同组件是在不同时间创造的。研究人员还发现，Duqu最常攻击的时间发生在周三，这可能意味着它确实是一种军用类型的恶意程序。攻击者非常谨慎，每组不同的文件使用不同的命令和控制服务器。Duqu木马造成网络犯罪增多，它是之前有名的工业恶意软件Stuxnet的姊妹恶意软件。但与Stuxnet不同的是，Stuxnet的主要目的是造成工业破坏，而Duqu木马则被用来收集与其攻击目标有关的各种情报。可以说，Duqu木马可以盗取目标系统中的所有信息，然而，从其发动的攻击情况来看，它似乎只对收集密码、抓取桌面截图（暗中监视用户的操作）、盗取各类文件感兴趣。这些行为预示着网络罪犯使用的技术将开启一个新的时代，网络犯罪将有足够的能力成功执行工业间谍活动，甚至绑架与勒索。目前，业界针对Duqu木马最大的疑团是该恶意程序感染计算机后，是如何同命令控制中心(C&C)进行通讯的。Duqu木马用于同C&C通讯的模块是其有效负荷DLL的一部分。对该有效负荷DLL进行全面的分析后，卡巴斯基实验室的研究者发现该DLL中存在一段特定采用一种未知编程语言编写的代码，其唯一功能就是同C&C进行通讯。卡巴斯基实验室的研究人员将这一段未知代码命名为“Duqu架构”。同Duqu木马的其它组件不同，Duqu架构并不是采用C++编写，也没有使用微软的Visual C++ 2008进行编译，很可能其编写者使用了一种内部架构，生成了媒介C代码，或者他们使用了一种完全不同的编程语言。此外，卡巴斯基实验室研究人员已经确认该语言为面向对象式语言，并且能够自行执行其相关行为，而且适合网络应用的开发。Duqu架构所使用的语言高度专业化，能够让有效负荷DLL同其它Duqu模块独立，通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求，甚至可以在网络中的其它计算机上传播辅助恶意代码，实现可控制并且隐蔽的感染手段，殃及其它计算机。