Derin PE Analizi — SMBWorm2 (Work_Report_2026 Lürü) | Tehdit: KRİTİK

Dosya Kimliği

SHA25629352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
Boyut174,592 byte (ZIP → PE32 x86)
TürPE32 executable (GUI) Intel 80386, 5 sections

196.251.107.104: Payload Dağıtım Sunucusu

C2 IP: 196.251.107.104 — 3 ayrı payload indiriliyor!
http://196.251.107.104/11x06x2026_x64.exe
http://196.251.107.104/clp5.exe
http://196.251.107.104/rkx4.exe

-- 3 ayrı payload URL'si:
  "11x06x2026_x64.exe" = 11 Haziran 2026 tarihli x64 payload (tarih damgalı!)
  "clp5.exe" = belirsiz, muhtemelen clipper/C2 loader (clp = clipboard?)
  "rkx4.exe" = muhtemelen rootkit x4 veya ransom-key x4

-- Tarih: 11x06x2026 = 11 Haziran 2026 → aktif kampanya tarih damgası
-- IP: 196.251.107.104 → hızlı analiz ile C2 sunucusu teyit edildi
-- InternetOpenW + InternetOpenUrlW → her URL ayrı ayrı indirilip çalıştırılıyor
-- ShellExecuteExW → indirilen EXE'leri çalıştır

NetShareEnum + NetServerEnum: SMB Yayılma

NETAPI32.dll → NetShareEnum    (paylaşımları listele)
NETAPI32.dll → NetServerEnum   (ağdaki sunucuları listele)

-- NetServerEnum(domain, SV_TYPE_ALL, ...) → ağdaki tüm makineleri bul
-- NetShareEnum(server, 1, ...) → her makine için paylaşımları listele
-- ADMIN$ paylaşımı hedefleniyor:
  \\%s\ADMIN$           (admin paylaşımı)
  \\%s\ADMIN$\..\..%s  (admin paylaşımından relative path traversal!)
-- Bu kombinasyon: Conficker/WannaCry/NotPetya benzeri SMB yayılma
-- Kendini ağ paylaşımlarına kopyala → autorun veya LNK ile çalıştır

Work_Report_2026.pdf.lnk: LNK Enfeksiyon Vektörü

Work_Report_2026.pdf.lnk
Work Files.lnk

-- .pdf.lnk = çift uzantı aldatmacası:
  - Windows: varsayılan olarak uzantıları gizler
  - Kullanıcı görür: "Work_Report_2026.pdf" (sahte PDF ikonu ile)
  - Gerçek: Windows kısayolu → komut çalıştırır
  - LNK içinde gömülü komut: PowerShell veya CMD payload başlatır

-- "Work Report 2026" lürü = kurumsal çalışma ortamı sosyal mühendislik
  - Muhasebe/İK/Yönetici personeline gönderilen e-posta eki
  - Açıldığında: worm çalışır, payload indirir, paylaşımlara yayılır
-- LNK kısayolları AV'leri atlatır (EXE değil → daha az inceleme)

Global\dsfdsoijbvoxiUHUokpoCVS9XVF848: Mutex

Global\dsfdsoijbvoxiUHUokpoCVS9XVF848
-- Global mutex: sistem genelinde tek instance garantisi (anti-reinfection)
-- "dsfdsoijbvoxiUHUokpoCVS9XVF848" = rastgele görünen ama sabit string
-- YARA kuralı: bu mutex string için tespit imzası yazılabilir
-- "Global\" = tüm kullanıcı oturumlarında görünür (SYSTEM ayrıcalıklı çalışıyor)

IOC

SHA25629352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
C2 IP196.251.107.104
URL 1http://196.251.107.104/11x06x2026_x64.exe
URL 2http://196.251.107.104/clp5.exe
URL 3http://196.251.107.104/rkx4.exe
MutexGlobal\dsfdsoijbvoxiUHUokpoCVS9XVF848
LNKWork_Report_2026.pdf.lnk / Work Files.lnk

SMBWorm2 — Malware Profili

SMB worm with LNK lure (Work_Report_2026.pdf.lnk). Downloads 3 payloads from 196.251.107.104 (11x06x2026_x64.exe, clp5.exe, rkx4.exe). NetShareEnum+NetServerEnum for lateral movement. Global mutex dsfdsoijbvoxiUHUokpoCVS9XVF848. ADMIN$ share traversal.

Malware Tipi
Botnet
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Küresel

Yetenekler ve Davranış

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC Listesi (1 gösterge)

IOC — SMBWorm2
# SHA256 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
TürDeğerNot
sha256 29352f59456553b5f5484561ad72727866119f00dfa50626b152ec47d68369a9
Etiketler
smbworm2smb-worm-2work-report-2026-lnk-lure196-251-107-104-c2-payload-server-ip-iocthree-payload-download-11x06x2026-x64-clp5-rkx4netshareenum-netserverenum-smb-share-enumeration-lateral-movementglobal-dsfdsoijbvoxiuhuo-mutex-anti-reinfectionwork-report-2026-pdf-lnk-work-files-lnk-shortcut-infection-vectorinternetopenorlw-wininet-http-downloadshellexecuteexw-payload-launchadmin-share-lateral-movement