Symantec meldt dat er een nieuwe variant van de Duqu-malware is gevonden. Het virus is aangetroffen in Iran en lijkt te zijn voorzien van een ander encryptie-algoritme, terwijl er geen gebruik meer wordt gemaakt van een gestolen certificaat.
De Duqu-variant is volgens Symantec gevonden in Iran, maar het is niet geheel duidelijk of deze versie specifiek gericht is op dat land. Dit komt mede omdat een aantal onderdelen in de aangebrachte sample ontbreken. Symantec meldt echter dat de malwareschrijvers de encryptie-engine van de Duqu-malware hebben aangepast. Deze versleuteling wordt gebruikt om de diverse onderdelen van de malware op een besmet systeem te verbergen voor antivirus-software.
Een ander opvallend verschil met het 'origineel', dat een afgeleide zou zijn van de Stuxnet-malware, is dat deze Duqu-versie niet langer gebruik maakt van een gestolen certificaat; de malware zou zich in deze gedaante voordoen als een Microsoft class driver. Symantec stelt dat uit het opduiken van een nieuwe Duqu-variant ook kan worden afgeleid dat de makers nog steeds actief zijn met het bouwen van nieuwe malware: de code is gecompileerd op 23 februari.
Eerder deze week concludeerde Kaspersky Lab, na hulp te hebben gekregen van programmeurs, dat een mysterieuze module van de Duqu-trojan is geschreven in een objectgeoriënteerd C-dialect. Volgens Kaspersky blijkt hieruit dat de Duqu-ontwikkelaars doelbewust hebben gekozen voor een flexibele basis, zodat de malware ook op andere platformen ingezet kan worden. Bovendien zou de malware zeer robuust zijn door het gebruik van een asynchroon communicatiemodel.