Tijdens de Virus Bulletin 2010 conferentie heeft Symantec onderzoeker Liam O'Murchu gedemonstreerd hoe hij met de Stuxnet-worm de werking van een luchtpomp kan aanpassen. Het anti-virusbedrijf heeft ook dit 49 pagina's tellende rapport over de werking en verspreiding van de worm online gezet. O'Murchu ontdekte tijdens de analyse van de worm verschillende opmerkelijke aanwijzingen.

Zo werd in de Stuxnet code de datum “05091979? aangetroffen, wat mogelijk een verwijzing naar 9 mei 1979 is. Toen werd de Joods-Iraanse zakenman Habib Elghanian op verdenking van spionage voor Israël geëxecuteerd. Daarnaast wordt er ook druk gespeculeerd over de bestandsnaam 'Myrtus', die in de code werd aangetroffen, wat weer op een Bijbelse verwijzing kan duiden. De naam werd bij het compileren van de code meegenomen, net als met Operatie Aurora. Het pad in kwestie was \myrtus\src\objfre_w2k_x86\i386\guava.pdb. In het geval van Aurora ging het om \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

Complex
Een ander opmerkelijke eigenschap van de worm is dat die alleen programmable logic controllers (PLC) met een specifieke netwerkkaart infecteert. "We weten alles dat Stuxnet op een geinfecteerde PLC doet, maar we weten niet wat de 'real world' effecten van de code zijn. Het is lastig om de echte gevolgen te begrijpen zonder te weten wat er aan de inputs en outputs verbonden is", aldus O'Murchu.

De analyse van Stuxnet duurde vrij lang omdat de worm "ongewoon complex en groot is", aldus Mikko Hypponen van F-Secure. De worm is 1,5MB groot. Volgens de Finse virusbestrijder is Stuxnet waarschijnlijk in juni 2009 met verspreiden begonnen, maar is één van de onderdelen in januari 2009 gecompileerd.