flのコメント: 感染行為の要約 (スコア 5, 興味深い) 13
解析されたサンプルでは次の順に感染を行う。
1. Word文書からTrueTypeの脆弱性を突いてコード実行
2. シェルコードがデバドラとインストーラのファイルを復元する
3. デバドラ実行
4. デバドラがservice.exeにインストーラを食わせる
5. インストーラがDuquの本体を展開する
6. Duqu本体実行
0-dayが使われたのは1.で、今のところ有効な対処方法は見つかっていない。
今まで見つかったケースは日本国外の組織がターゲットになっている。
Symantec Official Blogの日本語版も出ているので、詳しくはそちらを参照。