Številne lastnosti črva so strokovnjaki razkrili tekom prve faze analize. Ugotovili so, da so bili gonilniki, ki skrbijo za okužbo sistema, pri vseh modifikacijah zlonamernega programa spremenjeni. V eni od analiziranih različic je gonilnik uporabljal ponarejen digitalni podpis, v ostalih primerih pa slednjega sploh ni bilo. Poleg tega je postalo jasno, da zelo verjetno obstajajo tudi drugi elementi Duquja, ki še niso bili odkriti.

Duqu se od Stuxneta loči tudi v številu zaznanih okužb, saj je bila do zdaj med preiskavo uradno zaznana le ena okužba sistema. Od odkritja slednje, je varnostno omrežje Kaspersky Security Network zaznalo še štiri nove primere, enega v Sudanu, ostali trije pa so se zgodili v Iranu.

Pri vseh štirih okužbah so odkrili, da je imel črv modificirane gonilnike in niti dva nista bila enaka. Pri enem od iranskih primerov pa so odkrili, da je bila naprava tudi tarča dveh omrežnih napadov, ki sta poskušala izkoristiti ranljivost strežnika, t.i. MS08-067. To ranljivost je izkoriščal že Stuxnet, pred njim pa tudi Kido. Omrežna napada sta se zgodila 4. in 16. oktobra 2011 z istega IP naslova, ki uradno pripada ameriškemu ponudniku internetnih storitev. Če bi odkrili le eno okužbo, bi slednjo zlahka opisali kot tipičen primer Kida, vendar sta slednji sledili še dve. Podrobnosti nakazujejo na usmerjen napad na tarčo v Iranu, vendar zaenkrat še niso znane konkretne informacije.