Auf mehreren Computern in Europa ist eine Art kleiner Bruder des Computerschädlings Stuxnet entdeckt worden. Die neue Schadsoftware, die den Namen Duqu bekam, ist ein Trojaner, der Entwickler von Industrieanlagen ausspähen sollte, berichtet die IT-Sicherheitsfirma Symantec in einer Analyse der Software. Duqu enthalte Teile des Codes von Stuxnet, des Virusprogramms, das wahrscheinlich das iranische Atomprogramm sabotieren sollte. Der Autor von Duqu habe offensichtlich Zugang zum Quellcode von Stuxnet besessen, glauben die Autoren der Analyse. Jedoch sei die "Nutzlast" des Trojaners komplett anders als bei Stuxnet – der Programmteil also, der festlegt, was bei dem Angriff gestohlen oder zerstört wird.

"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schreiben Experten von Symantec in ihrer Analyse. Der Trojaner sammle Daten von Computern und übermittle sie an seine Entwickler. Duqu sei auf den Computern von sieben oder acht europäischen Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst CNET.

Symantec schreibt, das Programm könne sich nicht selbst verfielfältigen, sei also kein Wurm, der sich selbständig verbreitet. Außerdem sei es maßgeschneidert für ganz bestimmte Ziele. Wobei es möglich sei, dass andere Firmen und Organisationen mit anderen Varianten des Programms angegriffen würden, die man bislang noch nicht entdeckt habe.

Duqu selbst richtet dabei noch keinen Schaden an, sondern dient dazu, sich einzuschleichen und andere Programme nachzuladen. In der Analyse heißt es: "Die Angreifer nutzten Duqu, um einen Infostealer zu installieren, der Tastenanschläge aufzeichnen kann und Systeminformationen sammelt." Offensichtlich hätten die Angreifer in den befallenen Systemen nach Informationen gesucht, um künftige Attacken zu planen.

Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt: "Wir wissen bisher nicht, worauf genau sie es abgesehen hat." Die erste Attacke habe wahrscheinlich bereits im Dezember 2010 stattgefunden.

Die IT-Sicherheitsfirma McAfee glaubt, dass mit Duqu auch Unternehmen angegriffen werden können, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit gestohlenen Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder gefährliche Programme legal wirken lassen.

Die Herkunft des Programmes ist unklar. Symantec beobachtete lediglich, dass die abgefischten Daten an einen Server in Indien geschickt wurden. Außerdem habe eine Variante des Trojaners ein gültiges Zertifikat benutzt, das auf eine Firma in Taipeh in Taiwan ausgestellt war.