Derin PE Analizi — SMBWorm2 (Work_Report_2026 Lürü) | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9 |
|---|---|
| Boyut | 174,592 byte (ZIP → PE32 x86) |
| Tür | PE32 executable (GUI) Intel 80386, 5 sections |
196.251.107.104: Payload Dağıtım Sunucusu
C2 IP: 196.251.107.104 — 3 ayrı payload indiriliyor!
http://196.251.107.104/11x06x2026_x64.exe http://196.251.107.104/clp5.exe http://196.251.107.104/rkx4.exe -- 3 ayrı payload URL'si: "11x06x2026_x64.exe" = 11 Haziran 2026 tarihli x64 payload (tarih damgalı!) "clp5.exe" = belirsiz, muhtemelen clipper/C2 loader (clp = clipboard?) "rkx4.exe" = muhtemelen rootkit x4 veya ransom-key x4 -- Tarih: 11x06x2026 = 11 Haziran 2026 → aktif kampanya tarih damgası -- IP: 196.251.107.104 → hızlı analiz ile C2 sunucusu teyit edildi -- InternetOpenW + InternetOpenUrlW → her URL ayrı ayrı indirilip çalıştırılıyor -- ShellExecuteExW → indirilen EXE'leri çalıştır
NetShareEnum + NetServerEnum: SMB Yayılma
NETAPI32.dll → NetShareEnum (paylaşımları listele) NETAPI32.dll → NetServerEnum (ağdaki sunucuları listele) -- NetServerEnum(domain, SV_TYPE_ALL, ...) → ağdaki tüm makineleri bul -- NetShareEnum(server, 1, ...) → her makine için paylaşımları listele -- ADMIN$ paylaşımı hedefleniyor: \\%s\ADMIN$ (admin paylaşımı) \\%s\ADMIN$\..\..%s (admin paylaşımından relative path traversal!) -- Bu kombinasyon: Conficker/WannaCry/NotPetya benzeri SMB yayılma -- Kendini ağ paylaşımlarına kopyala → autorun veya LNK ile çalıştır
Work_Report_2026.pdf.lnk: LNK Enfeksiyon Vektörü
Work_Report_2026.pdf.lnk Work Files.lnk -- .pdf.lnk = çift uzantı aldatmacası: - Windows: varsayılan olarak uzantıları gizler - Kullanıcı görür: "Work_Report_2026.pdf" (sahte PDF ikonu ile) - Gerçek: Windows kısayolu → komut çalıştırır - LNK içinde gömülü komut: PowerShell veya CMD payload başlatır -- "Work Report 2026" lürü = kurumsal çalışma ortamı sosyal mühendislik - Muhasebe/İK/Yönetici personeline gönderilen e-posta eki - Açıldığında: worm çalışır, payload indirir, paylaşımlara yayılır -- LNK kısayolları AV'leri atlatır (EXE değil → daha az inceleme)
Global\dsfdsoijbvoxiUHUokpoCVS9XVF848: Mutex
Global\dsfdsoijbvoxiUHUokpoCVS9XVF848 -- Global mutex: sistem genelinde tek instance garantisi (anti-reinfection) -- "dsfdsoijbvoxiUHUokpoCVS9XVF848" = rastgele görünen ama sabit string -- YARA kuralı: bu mutex string için tespit imzası yazılabilir -- "Global\" = tüm kullanıcı oturumlarında görünür (SYSTEM ayrıcalıklı çalışıyor)
IOC
| SHA256 | 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9 |
|---|---|
| C2 IP | 196.251.107.104 |
| URL 1 | http://196.251.107.104/11x06x2026_x64.exe |
| URL 2 | http://196.251.107.104/clp5.exe |
| URL 3 | http://196.251.107.104/rkx4.exe |
| Mutex | Global\dsfdsoijbvoxiUHUokpoCVS9XVF848 |
| LNK | Work_Report_2026.pdf.lnk / Work Files.lnk |
SMBWorm2 — Malware Profile
SMB worm with LNK lure (Work_Report_2026.pdf.lnk). Downloads 3 payloads from 196.251.107.104 (11x06x2026_x64.exe, clp5.exe, rkx4.exe). NetShareEnum+NetServerEnum for lateral movement. Global mutex dsfdsoijbvoxiUHUokpoCVS9XVF848. ADMIN$ share traversal.
Malware Type
Botnet
Programming Language
C
C2 Protocol
HTTP
Target Systems
Küresel
Capabilities & Behavior
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
IOC List (1 indicators)
IOC — SMBWorm2
# SHA256
29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
| Type | Value | Note |
|---|---|---|
| sha256 | 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9 |