Derin PE Analizi — SMBWorm2 (Work_Report_2026 Lürü) | Tehdit: CRITIQUE

Fichier Kimliği

SHA25629352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
Taille174,592 byte (ZIP → PE32 x86)
TypePE32 executable (GUI) Intel 80386, 5 sections

196.251.107.104: Payload Dağıtım Sunucusu

C2 IP: 196.251.107.104 — 3 ayrı payload indiriliyor!
http://196.251.107.104/11x06x2026_x64.exe
http://196.251.107.104/clp5.exe
http://196.251.107.104/rkx4.exe

-- 3 ayrı payload URL'si:
  "11x06x2026_x64.exe" = 11 Haziran 2026 tarihli x64 payload (tarih damgalı!)
  "clp5.exe" = belirsiz, muhtemelen clipper/C2 loader (clp = clipboard?)
  "rkx4.exe" = muhtemelen rootkit x4 veya ransom-key x4

-- Tarih: 11x06x2026 = 11 Haziran 2026 → aktif kampanya tarih damgası
-- IP: 196.251.107.104 → hızlı analiz ile C2 sunucusu teyit edildi
-- InternetOpenW + InternetOpenUrlW → her URL ayrı ayrı indirilip çalıştırılıyor
-- ShellExecuteExW → indirilen EXE'leri çalıştır

NetShareEnum + NetServerEnum: SMB Yayılma

NETAPI32.dll → NetShareEnum    (paylaşımları listele)
NETAPI32.dll → NetServerEnum   (ağdaki sunucuları listele)

-- NetServerEnum(domain, SV_TYPE_ALL, ...) → ağdaki tüm makineleri bul
-- NetShareEnum(server, 1, ...) → her makine için paylaşımları listele
-- ADMIN$ paylaşımı hedefleniyor:
  \\%s\ADMIN$           (admin paylaşımı)
  \\%s\ADMIN$\..\..%s  (admin paylaşımından relative path traversal!)
-- Bu kombinasyon: Conficker/WannaCry/NotPetya benzeri SMB yayılma
-- Kendini ağ paylaşımlarına kopyala → autorun veya LNK ile çalıştır

Work_Report_2026.pdf.lnk: LNK Enfeksiyon Vektörü

Work_Report_2026.pdf.lnk
Work Files.lnk

-- .pdf.lnk = çift uzantı aldatmacası:
  - Windows: varsayılan olarak uzantıları gizler
  - Kullanıcı görür: "Work_Report_2026.pdf" (sahte PDF ikonu ile)
  - Gerçek: Windows kısayolu → komut çalıştırır
  - LNK içinde gömülü komut: PowerShell veya CMD payload başlatır

-- "Work Report 2026" lürü = kurumsal çalışma ortamı sosyal mühendislik
  - Muhasebe/İK/Yönetici personeline gönderilen e-posta eki
  - Açıldığında: worm çalışır, payload indirir, paylaşımlara yayılır
-- LNK kısayolları AV'leri atlatır (EXE değil → daha az inceleme)

Global\dsfdsoijbvoxiUHUokpoCVS9XVF848: Mutex

Global\dsfdsoijbvoxiUHUokpoCVS9XVF848
-- Global mutex: sistem genelinde tek instance garantisi (anti-reinfection)
-- "dsfdsoijbvoxiUHUokpoCVS9XVF848" = rastgele görünen ama sabit string
-- YARA kuralı: bu mutex string için tespit imzası yazılabilir
-- "Global\" = tüm kullanıcı oturumlarında görünür (SYSTEM ayrıcalıklı çalışıyor)

IOC

SHA25629352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
C2 IP196.251.107.104
URL 1http://196.251.107.104/11x06x2026_x64.exe
URL 2http://196.251.107.104/clp5.exe
URL 3http://196.251.107.104/rkx4.exe
MutexGlobal\dsfdsoijbvoxiUHUokpoCVS9XVF848
LNKWork_Report_2026.pdf.lnk / Work Files.lnk

SMBWorm2 — Profil du malware

SMB worm with LNK lure (Work_Report_2026.pdf.lnk). Downloads 3 payloads from 196.251.107.104 (11x06x2026_x64.exe, clp5.exe, rkx4.exe). NetShareEnum+NetServerEnum for lateral movement. Global mutex dsfdsoijbvoxiUHUokpoCVS9XVF848. ADMIN$ share traversal.

Type de malware
Botnet
Langage de programmation
C
Protocole C2
HTTP
Systèmes ciblés
Küresel

Capacités et comportement

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Liste IOC (1 indicateurs)

IOC — SMBWorm2
# SHA256 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
TypeValeurNote
sha256 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
Tags
smbworm2smb-worm-2work-report-2026-lnk-lure196-251-107-104-c2-payload-server-ip-iocthree-payload-download-11x06x2026-x64-clp5-rkx4netshareenum-netserverenum-smb-share-enumeration-lateral-movementglobal-dsfdsoijbvoxiuhuo-mutex-anti-reinfectionwork-report-2026-pdf-lnk-work-files-lnk-shortcut-infection-vectorinternetopenorlw-wininet-http-downloadshellexecuteexw-payload-launchadmin-share-lateral-movement