分析结果发现：Duqu木马的攻击者善于清理自己的痕迹

　　安全研究人员在连接到Duqu木马的命令和控制服务器(command-and-control servers)网络上进行广泛取证，并已发现该木马背后的网络犯罪分子会很小心地掩盖他们的踪迹。

　　卡巴斯基实验室的恶意软件专家Vitaly Kamluk说道，10月20日有一次全球性的清理操作，就在一份报告概述了Duqu和Stuxnet蠕虫的相似之处后的两天。在卡巴斯基的研究人员进行分析的详细报告中，Kamluk表示，他的团队发现在过去三年中有超过十二个命令和控制服务器进行了操作。到目前为止，研究人员已经确定了十多个不同的Duqu变种，Kamluk补充道。

　　“我们仍然不知道Duqu和Stuxnet背后的幕后黑手是谁，”Kamluk在一篇概述了Duqu最新分析的博客中写道，“虽然我们已经分析了一些服务器，但攻击者非常有效的遮盖了他们的踪迹。”

　　卡巴斯基研究人员发现的证据支持了一个理论，那就是Duqu背后的攻击者资金雄厚，且具备针对特定公司的必要的技术专长，秘密获得特定的数据并掩饰行踪，使得只留下很少的线索可用于调查取证。Duqu共享一些与Stuxnet相同的源代码，Stuxnet是臭名昭著的蠕虫，旨在破坏特定的SCADA系统进程。一些安全专家认为Duqu木马的目的是为更严重的攻击收集情报，该攻击针对对监控和数据采集(supervisory control and data acquisition，SCADA)系统。

　　据卡巴斯基实验室的分析，早期的Duqu恶意软件样本可追溯到一台印度的命令和控制服务器，就在托管公司为了调查做一个快照的前几个小时，它被远程的抹去了。这台印度的服务器也连接到比利时的一台服务器，以及在越南和荷兰的服务器。其他服务器在德国，新加坡，瑞士，英国和韩国。

　　这些服务器运行CentOS Linux，通过暴力破解根密码被攻击，Kamluk说道。“一旦攻击者获得对被攻击的服务器的控制，他们就想尽快将OpenSSH的4.3版本升级为OpenSSH 5版本，”他写道。研究人员推测该服务器是在越南，用来控制某些在伊朗发现的Duqu变种。

　　尽管有深入的分析，研究人员还无法确定哪些服务器是所有感染的基础。研究人员同样无法证实的是，攻击者使用了CentOS上OpenSSH 4.3版本上的零日漏洞。

　　“许多其他的服务器作为基础设施被使用，还有一些作为主要的C&C代理使用，其他的被攻击者用来在世界各地跳转，从而使得跟踪更加困难，”Kamluk写道。“早在2009年，攻击者就擦去了每个他们曾使用的服务器，包括在印度、越南、德国、英国等地的服务器。”