دهم شهریور 1390 آزمایشگاه کرای سیس- CRYSYS- به نمونه ای دست می یابد که از بسیاری موارد مشابه بدافزار استاکس نت است. CRYSYS در 22 مهر همان سال گزارشی 60صفحه ای از یافته های خود منتشر می کند و به تشریح بدافزار کشف شده می پردازد. این آزمایشگاه مجارستانی، تهدید جدید را به سبب ایجاد فایل هایی با پیشوند «~DQ=Duqu» نام گذاری می کند. با توجه به تعداد محدود آلودگی های گزارش شده، همه شرکت های امنیتی اتفاق نظر دارند انتشار دوکو در ارتباط با یک حمله کاملاهدفمند بوده است. دوکو به محض اجراشدن، اقدام به نصب راه اندازهایی با گواهی نامه های جعلی و فایل های DLL رمزشده می کند. با برقراری ارتباط با سرور فرماندهی، گردانندگان پشت پرده، دوکو را قادر به آلوده کردن سایر دستگاه های موجود در شبکه قربانی، می کند. به طور پیش فرض، دوکو بعد از 30 تا 36 مورد آلوده سازی، ماموریتش خاتمه یافته و خود را از سیستم قربانی حذف می کند. صاحبان و گردانندگان دوکو نیز می توانند از طریق سرورهای فرماندهی، فرمان خودکشی را در هر زمان به بدافزار اعلام کنند. دوکو با دریافت فرمان از سرور فرماندهی اقدام به اجرای کدهایی برای شناسایی ساختار شبکه، ثبت کلیدهای زده شده توسط کاربر و جمع آوری بسیاری اطلاعات دیگر می کند. اطلاعات جمع آوری شده را با استاندارد AES رمز کرده و بعد از ارسال آن به یک فایل تصویری با نام DSC00001.jpg، به سرور فرماندهی ارسال می کند. دلیل استفاده از یک فایل تصویری JPG عادی نشان دادن داده های ردوبدل شده میان سرور فرماندهی و شبکه قربانی است. در تحقیقات بعدی محققان CRYSYS به فایل ابتدایی منتشر کننده دوکو دست می یابند. فایل کشف شده از یک ضعف امنیتی که تا آن زمان ناشناخته بوده، برای آلوده کردن سیستم های هدف استفاده می کرد. اکثر شرکت های امنیتی بر این باورند براساس ساختار کدنویسی این بدافزار، نویسندگان دوکو یا همان نویسندگان استاکس نت هستند، یا حداقل دسترسی کامل به کدهای استاکس نت داشته اند. آنچه مسلم است، نفوذگران حرفه ای هم بدون در اختیارداشتن امکانات فوق پیشرفته، از عهده ایجاد گواهی نامه های جعلی، کشف ضعف های امنیتی ناشناخته و برنامه نویسی کدهای فوق پیچیده با زبان برنامه نویسی غیررایج، برنمی آیند.