布达佩斯技术和经济大学加密和系统安全实验室(CrySyS)的Boldizsár Bencsáth 在2011年秋季新学期开学前接到了一家公司CEO的紧急电话,请求他赶紧过来,原来他们在一位开发者的机器上发现了一个加密的可疑文件,文件创建日期是在晚上无人工作的时候。对公司内网的搜索发现了更多感染恶意程序的机器。他们拷贝了硬盘镜像进行分析,很快发现了一个记录密码和按键的恶意程序。它会记录连接机器的设备和系统,绘制公司内网架构蓝图,它会将收集的数据储存在一个临时文件内。他们发现的恶意程序包含了一个内核模式驱动,使用了有效的数字签名。引人注意的是,签名证书的公司是一家台湾公司。Bencsáth立即联想到了破坏伊朗铀浓缩工厂的Stuxnet蠕虫,Stuxnet也使用了一家台湾公司的证书签名。Stuxnet使用的是RealTek的证书,而新发现的恶意程序使用了台湾骅讯电子公司的签名。对Stuxnet和新恶意程序进行比较后发现,两个程序除了证书其它都相同。因为恶意程序创建的临时文件都以 ~DQ开头,因此被命名为Duqu。《连线》记者 Kim Zetter在本周出版了新书《Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon》中描述了跟踪Duqu的经过。
