Bu rehber, gerçek SmokeLoader örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 4 IP, 1 domain).

SmokeLoader Nedir?

SmokeLoader, ilk olarak 2011 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

SmokeLoader is a modular loader/dropper active since 2011. Delivers various payloads. Known for heavy obfuscation and anti-analysis techniques.

Atıf / Tehdit Aktörü: Unknown (sold on underground forums, multiple operators)

Teknik Detay: SmokeLoader (Dofoil/Smoke Bot) is a modular loader/downloader active since 2011. Primary function: download and execute additional payloads (Emotet, TrickBot, FormBook, Ursnif). Heavy obfuscation: string encryption (RC4+XOR), process injection via APC, code injection. Heaven's Gate technique: switch

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar

文件 Hash 值leri (Antivirüs Tespiti İçin)

Gerçek SmokeLoader örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash 值i类型Not
0b06c6a25000addde175277b2d157d5bca4ab95cbfe3d984f1dba2ecefa3a4cdSHA256SmokeLoader
10dbe605fd72cb147a95eadc7b7fff74d8012f2eb99d07f9d33e9df7c377c2e6SHA256SmokeLoader
269d2ae2661789f8929d934a7f7e44b6d6fa2e2fc3799fd53b44988aed906b1fSHA256SmokeLoader
06bd471ea00320a2172fa5da5c0c8564abb02f8420264d5dd76cdf8ac39bca1bSHA256SmokeLoader
3712453c788033dda85ccd56598c70e2339823f104badb5ac9197a5335b43497SHA256SmokeLoader
53da8bea71bfe1b72632e354166437fbMD5SmokeLoader
11bf0445497a41f6991c3b5cbdbe0d2cMD5SmokeLoader
fda3cbb7ca00beee2e96fa7120dc440eMD5SmokeLoader
9983c9e4a8a92439555051142a797294MD5SmokeLoader
d8ab98c9b52eebab357b9403576190eaMD5SmokeLoader

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — 置信度li Modda Başlatın

Windows'u Ağ Destekli 置信度li Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "置信度li önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — SmokeLoader Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes Anti-Malware
  • ESET Online Scanner
  • RKill

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen SmokeLoader C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

  • 80.66.75.36
  • 148.72.171.175
  • 185.173.35.16
  • 91.243.44.247

Domain Adresleri

  • torcavpcs1.atitech.com

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • 置信度ilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

SmokeLoader — 恶意软件档案

SmokeLoader. autoruns.exe Sysinternals version info spoofing. Spaso developer PDB username. stub.pdb loader project artifact.

恶意软件类型
Loader
编程语言
C
C2协议
HTTP
目标系统
Windows
别名 (AKA)
Dofoil

技术细节

SmokeLoader (Dofoil/Smoke Bot) is a modular loader/downloader active since 2011. Primary function: download and execute additional payloads (Emotet, TrickBot, FormBook, Ursnif). Heavy obfuscation: string encryption (RC4+XOR), process injection via APC, code injection. Heaven's Gate technique: switches from 32-bit to 64-bit mode to evade WoW64 hooks. Anti-analysis: CPUID-based VM detection, process listing for analysis tools, timing checks. Uses process hollowing to inject into explorer.exe or svchost.exe. C2 communication: RC4-encrypted HTTP POST requests with bot ID, campaign ID. Sold as pay-per-install (PPI) service on underground forums (~$400/1000 installs). Frequently updated to bypass detection, >100 variants documented.

归因 / 威胁行为者

Unknown (sold on underground forums, multiple operators)

能力与行为

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

C2服务器 (该家族共有 5 台已记录服务器)

地址 类型 端口 协议 状态 国家
80.66.75.36 ip 80 HTTP inactive RU
148.72.171.175 ip 80 HTTP inactive US
91.243.44.247 ip 8888 HTTP inactive RU
185.173.35.16 ip 8080 HTTP inactive RU
torcavpcs1.atitech.com domain 443 TCP inactive —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
temizlikkaldırmasmokeloaderloadervirüs temizleme