「Duqu」は情報を盗むバックドアを含んでいる。このようなInfostealerは、何らかの形で盗んだ情報を送り返す必要がある。慎重なInfostealerは、誰かがネットワークトラフィックを監視している場合に備えて、情報の転送を害のないものに見せようとする。「Duqu」の場合、通常のWebトラフィックに見せかけることで、自身のトラフィックを隠そうとする。

  「Duqu」はサーバ(206.183.111.97 別名「canoyragomez.rapidns.com」で、これは以前インドにあった)に接続し、httpリクエストを送信する。同サーバはブランクのJPG画像で応答する。その後、「Duqu」は「dsc00001.jpg」という名の56KB JPGファイルを送り返し、盗んだ情報(AESで暗号化)を画像ファイルの最後に追加する。

  誰かがアウトバウンド・トラフィックを監視していても、これはあまり不自然には見えない。

  「Duqu」コンポーネントには異なるJPGファイルが含まれる。その一つが以下の画像だ:

galaxies collide

  これは2つの銀河系の衝突を示すNASAの画像だ。

  何故この画像なのだろう?

  我々をやっつけるという意味か。

  読者の方で、何か考えがある人はいるだろうか?

  「News from the Lab」の記事コメント欄に、あなたの考えを投稿して欲しい。手始めとなるセオリーがここにある。