Régebbi hír, hogy az NSS Labs megjelentetett egy DuQu kereső programot, ami a cég közleménye szerint 100%-ban, hamis pozitív találatok nélkül detektálja a kártevőt. Annak idején azért nem írtam a dologról, mert ez az eszköz egyszerű mintaillesztést használ a felismeréshez, az ilyen jellegű detekció pedig már a legtöbb elterjedt AV-ban is megtalálható.
Most viszont a kártevőt először elemző, magyar CrySys labor kiadott egy másik eszközt is, ami a érdekesebb irányokból közelíti meg a problémát:
A minta alapú felismerés mellett a program olyan .PNF fájlokat keres, melyekhez nem tartozik .INF fájl, ahogy az rendes konfigurációk esetekben lenni szokott, illetve a fájlok tartalmának entrópiáját (közérthetőbben: a bitfolyam megjósolhatatlanságának mértéke) is alapul veszi a kereséskor. Utóbbi eljárás azért lehet hatékony, mert a titkosítás (amit a kártevők általában a mintaalapú szűrések elkerülésére használnak) általában véletlennek látszó kimenetet állít elő, melynek entrópiája magas, szemben az általában sok redundanciát tartalmazó, ártalmatlan fájlokkal.
A két alternatív módszer ugyan szolgáltathat fals pozitív eredményeket, megkerülésük viszont remélhetőleg nehezebb feladatot jelent majd a DuQu készítői számára.