Onderzoekers hebben meer informatie over het Duqu-supervirus achterhaald, waaruit blijkt dat de makers dol zijn op de televisieserie over forensisch onderzoeker Dexter. Anti-virusbedrijf Kaspersky Lab wist niet alleen ontbrekende bestanden van het virus veilig te stellen, maar ook de bron en de "file dropper" te achterhalen, die het zero-day lek in de Windows-kernel misbruikt. Voor dit lek bracht Microsoft onlangs een "fix" uit.

Kaspersky analist Alexander Gostev stelt in deze analyse dat de data van het incident verband houdt met de ontdekking van het Stars-virus in Iran. Iran besloot de malware niet met andere experts te delen, wat volgens Gostev een grove fout is geweest. De Iraniërs ontdekten een keylogger module op een systeem, dat een foto van het NGC 6745 melkwegstelsel bevatte. Dat zou mogelijk een reden kunnen zijn waarom ze het virus "Stars" noemden. De kans is ook aanwezig dat de Iraanse specialisten alleen de keylogger vonden, en niet de Duqu module en de dropper met het zero-day Windows-lek.

E-mail
De aanval die Kaspersky Lab wist te achterhalen vond plaats via een e-mail. Het bedrijf in kwestie, waar de naam van geheim blijft, werd twee keer aangevallen, op 17 en 21 april. De eerste poging mislukte, omdat de e-mail in de spamfolder van de gebruiker terechtkwam. Vier dagen later werd het onderwerp van de e-mail aangepast en opende het slachtoffer het meegestuurde Word-bestand. De aanval en e-mail waren helemaal op maat gemaakt.

Na het bestand werd geopend kwam de exploit in actie en verstopte zich in het geheugen, maar deed verder niets. Deze inactiviteit duurde ongeveer tien minuten, waarna de exploit wachtte totdat de gebruiker geen activiteit meer vertoonde. Hiervoor werd er naar de input van keyboard en muis gekeken.

De shellcode van de exploit bevond zich in een font dat de makers "Dexter Regular" noemden, wat gemaakt zou zijn door Showtime Inc. "Dit is weer een grap van de Duqu-makers, aangezien Showtime Inc. de kabelmaatschappij achter de televisieserie Dexter is", merkt Gostev op. De serie gaat over een forensisch specialist die criminelen vermoordt. Via de eerste besmette computer werden andere machines in het netwerk geïnfecteerd.

Server
Aan de hand van het onderzoek concludeert Gostev dat voor elk slachtoffer een apart Word-bestand en shellcode werd gebruikt. Voor het versturen van de e-mails werden waarschijnlijk besmette computers gebruikt. Daarnaast gebruikten de aanvallers voor elke unieke verzameling van bestanden een aparte control-server. Er is inmiddels een server in India en België ontdekt, maar Gostev merkt op dat er nu ook een derde server wordt onderzocht.

De locatie wil de virusbestrijder niet geven, aangezien de server niet meer operationeel is en alle informatie al door de aanvallers is verwijderd. Iets wat ook voor andere controle-servers zou gelden die zijn ontdekt. In totaal zijn er twaalf unieke Duqu bestandsverzamelingen ontdekt. Informatie over de andere bestanden wil Kaspersky Lab later publiceren.