Submit #9888: BACKDOOR.WIN32.ZOMBAM.L / Remote Stack Buffer Overflowinfo

TitelBACKDOOR.WIN32.ZOMBAM.L / Remote Stack Buffer Overflow
BeschreibungDiscovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/56d356c5b1ae3a91caac511179159034.txt Contact: [email protected] Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.l Vulnerability: Remote Stack Buffer Overflow Description: Zombam.l creates files to serve as backdoors the default name is "httpserver.exe" and listens on TCP port 80. Attackers who can reach the backdoor can send HTTP GET request of about 2000 bytes to trigger buffer overflow corrupting the stack and overwriting EDX register. Type: PE32 MD5: 56d356c5b1ae3a91caac511179159034 Vuln ID: MVID-2021-0129 Dropped files: httpserver.exe ASLR: False DEP: False Safe SEH: True Disclosure: 03/14/2021 Memory Dump: (d00.168): Access violation - code c0000005 (first/second chance not available) eax=00000000 ebx=00000000 ecx=027cfa20 edx=41414141 esi=00000003 edi=00000003 eip=7710ed3c esp=027cf0bc ebp=027cf24c iopl=0 nv up ei pl nz na po nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202 ntdll!ZwWaitForMultipleObjects+0xc: 7710ed3c c21400 ret 14h 0:005> .ecxr eax=027cf9f0 ebx=04190310 ecx=027cfa20 edx=41414141 esi=04190310 edi=004057e6 eip=004029e0 esp=027cf9d8 ebp=027cfa28 iopl=0 nv up ei pl zr na pe nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246 *** WARNING: Unable to verify checksum for httpserver.exe *** ERROR: Module load completed but symbols could not be loaded for httpserver.exe httpserver+0x29e0: 004029e0 8b4204 mov eax,dword ptr [edx+4] ds:002b:41414145=???????? 0:005> !analyze -v ******************************************************************************* * * * Exception Analysis * * * ******************************************************************************* Failed calling InternetOpenUrl, GLE=12029 FAULTING_IP: httpserver+29e0 004029e0 8b4204 mov eax,dword ptr [edx+4] EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 004029e0 (httpserver+0x000029e0) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000000 Parameter[1]: 41414145 Attempt to read from address 41414145 PROCESS_NAME: httpserver.exe ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s. EXCEPTION_PARAMETER1: 00000000 EXCEPTION_PARAMETER2: 41414145 READ_ADDRESS: 41414145 FOLLOWUP_IP: httpserver+29e0 004029e0 8b4204 mov eax,dword ptr [edx+4] MOD_LIST: <ANALYSIS/> NTGLOBALFLAG: 0 APPLICATION_VERIFIER_FLAGS: 0 FAULTING_THREAD: 00000168 BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141 PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141 DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141 LAST_CONTROL_TRANSFER: from 00402574 to 004029e0 STACK_TEXT: WARNING: Stack unwind information not available. Following frames may be wrong. 027cfa28 00402574 41414141 027cfa40 00000415 httpserver+0x29e0 027cfaa4 41414141 41414141 41414141 41414141 httpserver+0x2574 027cfaa8 41414141 41414141 41414141 41414141 0x41414141 027cfaac 41414141 41414141 41414141 41414141 0x41414141 027cfab0 41414141 41414141 41414141 41414141 0x41414141 027cfab4 41414141 41414141 41414141 41414141 0x41414141 027cfab8 41414141 41414141 41414141 41414141 0x41414141 027cfabc 41414141 41414141 41414141 41414141 0x41414141 027cfac0 41414141 41414141 41414141 41414141 0x41414141 027cfac4 41414141 41414141 41414141 41414141 0x41414141 027cfac8 41414141 41414141 41414141 41414141 0x41414141 027cfacc 41414141 41414141 41414141 41414141 0x41414141 027cfad0 41414141 41414141 41414141 41414141 0x41414141 027cfad4 41414141 41414141 41414141 41414141 0x41414141 027cfad8 41414141 41414141 41414141 41414141 0x41414141 027cfadc 41414141 41414141 41414141 41414141 0x41414141 027cfae0 41414141 41414141 41414141 41414141 0x41414141 027cfae4 41414141 41414141 41414141 41414141 0x41414141 027cfae8 41414141 41414141 41414141 41414141 0x41414141 027cfaec 41414141 41414141 41414141 41414141 0x41414141 027cfaf0 41414141 41414141 41414141 41414141 0x41414141 027cfaf4 41414141 41414141 41414141 41414141 0x41414141 027cfaf8 41414141 41414141 41414141 41414141 0x41414141 027cfafc 41414141 41414141 41414141 41414141 0x41414141 027cfb00 41414141 41414141 41414141 41414141 0x41414141 027cfb04 41414141 41414141 41414141 41414141 0x41414141 027cfb08 41414141 41414141 41414141 41414141 0x41414141 027cfb0c 41414141 41414141 41414141 41414141 0x41414141 027cfb10 41414141 41414141 41414141 41414141 0x41414141 027cfb14 41414141 41414141 41414141 41414141 0x41414141 027cfb18 41414141 41414141 41414141 41414141 0x41414141 027cfb1c 41414141 41414141 41414141 41414141 0x41414141 027cfb20 41414141 41414141 41414141 41414141 0x41414141 027cfb24 41414141 41414141 41414141 41414141 0x41414141 027cfb28 41414141 41414141 41414141 41414141 0x41414141 027cfb2c 41414141 41414141 41414141 41414141 0x41414141 027cfb30 41414141 41414141 41414141 41414141 0x41414141 027cfb34 41414141 41414141 41414141 41414141 0x41414141 027cfb38 41414141 41414141 41414141 41414141 0x41414141 027cfb3c 41414141 41414141 41414141 41414141 0x41414141 027cfb40 41414141 41414141 41414141 41414141 0x41414141 027cfb44 41414141 41414141 41414141 41414141 0x41414141 027cfb48 41414141 41414141 41414141 41414141 0x41414141 027cfb4c 41414141 41414141 41414141 41414141 0x41414141 027cfb50 41414141 41414141 41414141 41414141 0x41414141 027cfb54 41414141 41414141 41414141 41414141 0x41414141 027cfb58 41414141 41414141 41414141 41414141 0x41414141 027cfb5c 41414141 41414141 41414141 41414141 0x41414141 027cfb60 41414141 41414141 41414141 41414141 0x41414141 027cfb64 41414141 41414141 41414141 41414141 0x41414141 027cfb68 41414141 41414141 41414141 41414141 0x41414141 027cfb6c 41414141 41414141 41414141 41414141 0x41414141 027cfb70 41414141 41414141 41414141 41414141 0x41414141 027cfb74 41414141 41414141 41414141 41414141 0x41414141 027cfb78 41414141 41414141 41414141 41414141 0x41414141 027cfb7c 41414141 41414141 41414141 41414141 0x41414141 027cfb80 41414141 41414141 41414141 41414141 0x41414141 027cfb84 41414141 41414141 41414141 41414141 0x41414141 027cfb88 41414141 41414141 41414141 41414141 0x41414141 027cfb8c 41414141 41414141 41414141 41414141 0x41414141 027cfb90 41414141 41414141 41414141 41414141 0x41414141 027cfb94 41414141 41414141 41414141 41414141 0x41414141 027cfb98 41414141 41414141 41414141 41414141 0x41414141 027cfb9c 41414141 41414141 41414141 41414141 0x41414141 027cfba0 41414141 41414141 41414141 41414141 0x41414141 027cfba4 41414141 41414141 41414141 41414141 0x41414141 027cfba8 41414141 41414141 41414141 41414141 0x41414141 027cfbac 41414141 41414141 41414141 41414141 0x41414141 027cfbb0 41414141 41414141 41414141 41414141 0x41414141 027cfbb4 41414141 41414141 41414141 41414141 0x41414141 027cfbb8 41414141 41414141 41414141 41414141 0x41414141 027cfbbc 41414141 41414141 41414141 41414141 0x41414141 027cfbc0 41414141 41414141 41414141 41414141 0x41414141 027cfbc4 41414141 41414141 41414141 41414141 0x41414141 027cfbc8 41414141 41414141 41414141 41414141 0x41414141 027cfbcc 41414141 41414141 41414141 41414141 0x41414141 027cfbd0 41414141 41414141 41414141 41414141 0x41414141 027cfbd4 41414141 41414141 41414141 41414141 0x41414141 027cfbd8 41414141 41414141 41414141 41414141 0x41414141 027cfbdc 41414141 41414141 41414141 41414141 0x41414141 027cfbe0 41414141 41414141 41414141 41414141 0x41414141 027cfbe4 41414141 41414141 41414141 41414141 0x41414141 027cfbe8 41414141 41414141 41414141 41414141 0x41414141 027cfbec 41414141 41414141 41414141 41414141 0x41414141 027cfbf0 41414141 41414141 41414141 41414141 0x41414141 027cfbf4 41414141 41414141 41414141 41414141 0x41414141 027cfbf8 41414141 41414141 41414141 41414141 0x41414141 027cfbfc 41414141 41414141 41414141 41414141 0x41414141 027cfc00 41414141 41414141 41414141 41414141 0x41414141 027cfc04 41414141 41414141 41414141 41414141 0x41414141 027cfc08 41414141 41414141 41414141 41414141 0x41414141 027cfc0c 41414141 41414141 41414141 41414141 0x41414141 027cfc10 41414141 41414141 41414141 41414141 0x41414141 027cfc14 41414141 41414141 41414141 41414141 0x41414141 027cfc18 41414141 41414141 41414141 41414141 0x41414141 027cfc1c 41414141 41414141 41414141 41414141 0x41414141 027cfc20 41414141 41414141 41414141 41414141 0x41414141 027cfc24 41414141 41414141 41414141 41414141 0x41414141 027cfc28 41414141 41414141 41414141 41414141 0x41414141 027cfc2c 41414141 41414141 41414141 41414141 0x41414141 027cfc30 41414141 41414141 41414141 41414141 0x41414141 027cfc34 41414141 41414141 41414141 41414141 0x41414141 027cfc38 41414141 41414141 41414141 41414141 0x41414141 027cfc3c 41414141 41414141 41414141 41414141 0x41414141 027cfc40 41414141 41414141 41414141 41414141 0x41414141 027cfc44 41414141 41414141 41414141 41414141 0x41414141 027cfc48 41414141 41414141 41414141 41414141 0x41414141 027cfc4c 41414141 41414141 41414141 41414141 0x41414141 027cfc50 41414141 41414141 41414141 41414141 0x41414141 027cfc54 41414141 41414141 41414141 41414141 0x41414141 027cfc58 41414141 41414141 41414141 41414141 0x41414141 027cfc5c 41414141 41414141 41414141 41414141 0x41414141 027cfc60 41414141 41414141 41414141 41414141 0x41414141 027cfc64 41414141 41414141 41414141 41414141 0x41414141 027cfc68 41414141 41414141 414141
Quelle⚠️ https://www.malvuln.com/advisory/56d356c5b1ae3a91caac511179159034.txt
Benutzer
 malvuln (UID 14984)
Einreichung26.03.2021 05:46 (vor 5 Jahren)
Moderieren26.03.2021 09:46 (4 hours later)
StatusAkzeptiert
VulDB Eintrag171792 [Backdoor.Win32.Zombam.l HTTP GET Request httpserver.exe Pufferüberlauf]
Punkte20

Interested in the pricing of exploits?

See the underground prices here!