Duqu wykorzystuje lukę w zabezpieczeniach dokumentów programu Microsoft Word. Dokument Word zawiera exploita jądra typu zero-day, który umożliwia atakującym zainstalowanie Duqu na komputerze bez wiedzy użytkownika. Sam proces instalacji jest bardzo długi i można go podzielić na dwie części: (1) wykorzystaj kod powłoki i (2) instalator.
- Wykorzystaj kod powłoki. Gdy tylko dokument Word, którego dotyczy problem, zostanie otwarty, uruchamiany jest exploit. Ten exploit zawiera kod powłoki trybu jądra, który najpierw sprawdza, czy komputer jest już zagrożony, czy nie. Jeśli został już przejęty, kod powłoki kończy działanie. Jeśli komputer nie został jeszcze zainfekowany, kod powłoki odszyfrowuje dwa pliki wykonywalne z dokumentu programu Word: (a) plik sterownika i (b) bibliotekę DLL instalatora. Następnie wykonanie jest przekazywane do pliku sterownika, który następnie wstrzykuje kod do services.exe. Następnie kod wykonuje bibliotekę DLL instalatora. Następnie kod powłoki wymazuje się z pamięci.
2. Instalator. Instalator odszyfrowuje od siebie trzy pliki: (a) główną bibliotekę DLL Duqu, (b) plik sterownika .sys, który jest punktem ładowania uruchamianym przez Duqu po reboot i (c) plik konfiguracyjny instalatora. Plik konfiguracyjny instalatora zawiera dwa znaczniki czasu reprezentujące czas instalacji. Zakończy się, jeśli zostanie wykonany poza tym przedziałem czasowym. Instalator przekazuje wykonanie do głównej biblioteki DLL, przechodząc do ntdll.dll w taki sam sposób, jak w Stuxnecie. Po instalacji na dysku pozostały tylko trzy pliki: sterownik, zaszyfrowana główna biblioteka DLL i jej plik konfiguracyjny.