Derin PE Analizi — SMBWorm2 (Work_Report_2026 Lürü) | Tehdit: KRİTİK

Dosya Kimliği

SHA25629352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
Boyut174,592 byte (ZIP → PE32 x86)
TürPE32 executable (GUI) Intel 80386, 5 sections

196.251.107.104: Payload Dağıtım Sunucusu

C2 IP: 196.251.107.104 — 3 ayrı payload indiriliyor!
http://196.251.107.104/11x06x2026_x64.exe
http://196.251.107.104/clp5.exe
http://196.251.107.104/rkx4.exe

-- 3 ayrı payload URL'si:
  "11x06x2026_x64.exe" = 11 Haziran 2026 tarihli x64 payload (tarih damgalı!)
  "clp5.exe" = belirsiz, muhtemelen clipper/C2 loader (clp = clipboard?)
  "rkx4.exe" = muhtemelen rootkit x4 veya ransom-key x4

-- Tarih: 11x06x2026 = 11 Haziran 2026 → aktif kampanya tarih damgası
-- IP: 196.251.107.104 → hızlı analiz ile C2 sunucusu teyit edildi
-- InternetOpenW + InternetOpenUrlW → her URL ayrı ayrı indirilip çalıştırılıyor
-- ShellExecuteExW → indirilen EXE'leri çalıştır

NetShareEnum + NetServerEnum: SMB Yayılma

NETAPI32.dll → NetShareEnum    (paylaşımları listele)
NETAPI32.dll → NetServerEnum   (ağdaki sunucuları listele)

-- NetServerEnum(domain, SV_TYPE_ALL, ...) → ağdaki tüm makineleri bul
-- NetShareEnum(server, 1, ...) → her makine için paylaşımları listele
-- ADMIN$ paylaşımı hedefleniyor:
  \\%s\ADMIN$           (admin paylaşımı)
  \\%s\ADMIN$\..\..%s  (admin paylaşımından relative path traversal!)
-- Bu kombinasyon: Conficker/WannaCry/NotPetya benzeri SMB yayılma
-- Kendini ağ paylaşımlarına kopyala → autorun veya LNK ile çalıştır

Work_Report_2026.pdf.lnk: LNK Enfeksiyon Vektörü

Work_Report_2026.pdf.lnk
Work Files.lnk

-- .pdf.lnk = çift uzantı aldatmacası:
  - Windows: varsayılan olarak uzantıları gizler
  - Kullanıcı görür: "Work_Report_2026.pdf" (sahte PDF ikonu ile)
  - Gerçek: Windows kısayolu → komut çalıştırır
  - LNK içinde gömülü komut: PowerShell veya CMD payload başlatır

-- "Work Report 2026" lürü = kurumsal çalışma ortamı sosyal mühendislik
  - Muhasebe/İK/Yönetici personeline gönderilen e-posta eki
  - Açıldığında: worm çalışır, payload indirir, paylaşımlara yayılır
-- LNK kısayolları AV'leri atlatır (EXE değil → daha az inceleme)

Global\dsfdsoijbvoxiUHUokpoCVS9XVF848: Mutex

Global\dsfdsoijbvoxiUHUokpoCVS9XVF848
-- Global mutex: sistem genelinde tek instance garantisi (anti-reinfection)
-- "dsfdsoijbvoxiUHUokpoCVS9XVF848" = rastgele görünen ama sabit string
-- YARA kuralı: bu mutex string için tespit imzası yazılabilir
-- "Global\" = tüm kullanıcı oturumlarında görünür (SYSTEM ayrıcalıklı çalışıyor)

IOC

SHA25629352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
C2 IP196.251.107.104
URL 1http://196.251.107.104/11x06x2026_x64.exe
URL 2http://196.251.107.104/clp5.exe
URL 3http://196.251.107.104/rkx4.exe
MutexGlobal\dsfdsoijbvoxiUHUokpoCVS9XVF848
LNKWork_Report_2026.pdf.lnk / Work Files.lnk

SMBWorm2 — Malware Profile

SMB worm with LNK lure (Work_Report_2026.pdf.lnk). Downloads 3 payloads from 196.251.107.104 (11x06x2026_x64.exe, clp5.exe, rkx4.exe). NetShareEnum+NetServerEnum for lateral movement. Global mutex dsfdsoijbvoxiUHUokpoCVS9XVF848. ADMIN$ share traversal.

Malware Type
Botnet
Programming Language
C
C2 Protocol
HTTP
Target Systems
Küresel

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — SMBWorm2
# SHA256 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
TypeValueNote
sha256 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
Tags
smbworm2smb-worm-2work-report-2026-lnk-lure196-251-107-104-c2-payload-server-ip-iocthree-payload-download-11x06x2026-x64-clp5-rkx4netshareenum-netserverenum-smb-share-enumeration-lateral-movementglobal-dsfdsoijbvoxiuhuo-mutex-anti-reinfectionwork-report-2026-pdf-lnk-work-files-lnk-shortcut-infection-vectorinternetopenorlw-wininet-http-downloadshellexecuteexw-payload-launchadmin-share-lateral-movement