Derin PE Analizi — SMBWorm2 (Work_Report_2026 Lürü) | Tehdit: CRITIQUE
Fichier Kimliği
| SHA256 | 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9 |
|---|---|
| Taille | 174,592 byte (ZIP → PE32 x86) |
| Type | PE32 executable (GUI) Intel 80386, 5 sections |
196.251.107.104: Payload Dağıtım Sunucusu
C2 IP: 196.251.107.104 — 3 ayrı payload indiriliyor!
http://196.251.107.104/11x06x2026_x64.exe http://196.251.107.104/clp5.exe http://196.251.107.104/rkx4.exe -- 3 ayrı payload URL'si: "11x06x2026_x64.exe" = 11 Haziran 2026 tarihli x64 payload (tarih damgalı!) "clp5.exe" = belirsiz, muhtemelen clipper/C2 loader (clp = clipboard?) "rkx4.exe" = muhtemelen rootkit x4 veya ransom-key x4 -- Tarih: 11x06x2026 = 11 Haziran 2026 → aktif kampanya tarih damgası -- IP: 196.251.107.104 → hızlı analiz ile C2 sunucusu teyit edildi -- InternetOpenW + InternetOpenUrlW → her URL ayrı ayrı indirilip çalıştırılıyor -- ShellExecuteExW → indirilen EXE'leri çalıştır
NetShareEnum + NetServerEnum: SMB Yayılma
NETAPI32.dll → NetShareEnum (paylaşımları listele) NETAPI32.dll → NetServerEnum (ağdaki sunucuları listele) -- NetServerEnum(domain, SV_TYPE_ALL, ...) → ağdaki tüm makineleri bul -- NetShareEnum(server, 1, ...) → her makine için paylaşımları listele -- ADMIN$ paylaşımı hedefleniyor: \\%s\ADMIN$ (admin paylaşımı) \\%s\ADMIN$\..\..%s (admin paylaşımından relative path traversal!) -- Bu kombinasyon: Conficker/WannaCry/NotPetya benzeri SMB yayılma -- Kendini ağ paylaşımlarına kopyala → autorun veya LNK ile çalıştır
Work_Report_2026.pdf.lnk: LNK Enfeksiyon Vektörü
Work_Report_2026.pdf.lnk Work Files.lnk -- .pdf.lnk = çift uzantı aldatmacası: - Windows: varsayılan olarak uzantıları gizler - Kullanıcı görür: "Work_Report_2026.pdf" (sahte PDF ikonu ile) - Gerçek: Windows kısayolu → komut çalıştırır - LNK içinde gömülü komut: PowerShell veya CMD payload başlatır -- "Work Report 2026" lürü = kurumsal çalışma ortamı sosyal mühendislik - Muhasebe/İK/Yönetici personeline gönderilen e-posta eki - Açıldığında: worm çalışır, payload indirir, paylaşımlara yayılır -- LNK kısayolları AV'leri atlatır (EXE değil → daha az inceleme)
Global\dsfdsoijbvoxiUHUokpoCVS9XVF848: Mutex
Global\dsfdsoijbvoxiUHUokpoCVS9XVF848 -- Global mutex: sistem genelinde tek instance garantisi (anti-reinfection) -- "dsfdsoijbvoxiUHUokpoCVS9XVF848" = rastgele görünen ama sabit string -- YARA kuralı: bu mutex string için tespit imzası yazılabilir -- "Global\" = tüm kullanıcı oturumlarında görünür (SYSTEM ayrıcalıklı çalışıyor)
IOC
| SHA256 | 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9 |
|---|---|
| C2 IP | 196.251.107.104 |
| URL 1 | http://196.251.107.104/11x06x2026_x64.exe |
| URL 2 | http://196.251.107.104/clp5.exe |
| URL 3 | http://196.251.107.104/rkx4.exe |
| Mutex | Global\dsfdsoijbvoxiUHUokpoCVS9XVF848 |
| LNK | Work_Report_2026.pdf.lnk / Work Files.lnk |
SMBWorm2 — Profil du malware
SMB worm with LNK lure (Work_Report_2026.pdf.lnk). Downloads 3 payloads from 196.251.107.104 (11x06x2026_x64.exe, clp5.exe, rkx4.exe). NetShareEnum+NetServerEnum for lateral movement. Global mutex dsfdsoijbvoxiUHUokpoCVS9XVF848. ADMIN$ share traversal.
Type de malware
Botnet
Langage de programmation
C
Protocole C2
HTTP
Systèmes ciblés
Küresel
Capacités et comportement
DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü
Liste IOC (1 indicateurs)
IOC — SMBWorm2
# SHA256
29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
| Type | Valeur | Note |
|---|---|---|
| sha256 | 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9 |