22 什么是毒区病毒（Duqu）？

毒区病毒是在Stuxnet之后最受关注的恶意程序，由布达佩斯技术与经济大学的密码学与系统安全实验室，在2011年9月1日发现。由于它创建的临时文件都是以“～DQ”开头的，因此被命名为Duqu。Duqu与Stuxnet有一定的相似度，它们都使用了相同的加密算法和密钥。

Duqu是一种远程控制木马程序（Remote Access Trojan，RAT），它开启一个简单的后门可以在受害者机器中为攻击者提供一个长久的驻足点。一旦建立了后门，Duqu就可接触到受害者机器中的命令和控制服务器，然后攻击者可以在该服务器中下载附加的模块，以丰富其攻击程序的功能。同时，Duqu是有生命周期的，代码执行一段时间后会自毁并删除所有的入侵痕迹。

Duqu攻击没有使用0day漏洞来帮助其传播，也不能像Stuxnet那样自动传播。但是一旦机器感染了Duqu，攻击者只需手动从受控制的服务器发送攻击指令，其就可以立即感染其他机器。Duqu执行的是系统性强且有条理的攻击，其甚至会根据不同的目标编译不同的攻击文件，执行不同的命令。

2015年，卡巴斯基又发现了Duqu2.0，该恶意代码已经在卡巴斯基内部网络潜伏长达数月。其攻击目标是伊朗工业控制系统，目的是盗窃信息，手法包括收集密码、抓取桌面截图、暗中监视用户操作和盗取各类文件等。