Un chercheur a publié « Zombie ZIP », une méthode simple permettant de modifier la première partie (l'en-tête) d'un fichier ZIP afin qu'il prétende à tort que son contenu n'est pas compressé, alors qu'il l'est en réalité.
De nombreux antivirus se fient à cet en-tête et ne décompressent ni n'analysent jamais correctement la charge utile réelle. Lors de tests réalisés environ une semaine après la divulgation, près de 60 des 63 suites antivirus courantes n'ont pas détecté le logiciel malveillant dissimulé de cette manière — environ 95 % des moteurs l'ont laissé passer.
Zombie ZIP est essentiellement une méthode permettant de créer un fichier ZIP mal formé capable de contourner la détection de la plupart des antivirus. Cette technique présente toutefois un inconvénient majeur : le fichier ZIP mal formé nécessite un chargeur spécifique pour s'ouvrir correctement. Tout utilitaire d'archivage standard, tel que Windows intégré Windows , 7-Zip, WinRAR ou d'autres, signalera également ce fichier comme étant mal formé.
Cette faille est répertoriée sous le numéro CVE-2026-0866, bien que plusieurs chercheurs en cybersécurité contestent le fait qu'elle doive être classée comme une faille ou qu'un numéro CVE lui soit attribué. Le fait qu'elle nécessite un chargeur personnalisé rend pratiquement impossible l'infection d'un système qui n'est pas déjà compromis par cette méthode.
Cela permet tout de même aux solutions anti-malware de détecter à la fois le chargeur personnalisé et tout logiciel malveillant connu une fois que la charge utile a été correctement décompressée. En d'autres termes, cette faille ne concerne que l'inspection initiale du fichier ZIP, et non l'exécution proprement dite d'un logiciel malveillant déjà connu.
Malwarebytes/ThreatDown Les produits ont d'ailleurs détecté ces deux fichiers.
Détails techniques
Sur leur page GitHub (actuellement bloquée par Malwarebytes Browser Guard d'un profil suspect), les chercheurs expliquent le fonctionnement de la méthode « Zombie ZIP ».
En modifiant le fichier compressiontype à 0 (STORED), les outils qui tentent de lire l'archive partent du principe que le contenu du fichier est simplement stocké à l'intérieur du fichier ZIP et n'est pas compressé.
« Les moteurs antivirus se fient au champ ZIP Method. Lorsque
Method=0 (STORED), ils analysent les données sous forme d'octets bruts non compressés. Or, ces données sont en réalité compressées au format DEFLATE ; le scanner détecte donc du bruit compressé et ne trouve aucune signature.Le CRC est défini sur la somme de contrôle de la charge utile non compressée, ce qui crée une incohérence supplémentaire qui conduit les outils d'extraction standard (7-Zip, unzip, WinRAR) à signaler des erreurs ou à extraire des fichiers corrompus.
Cependant, un chargeur spécialement conçu qui ignore la méthode déclarée et décompresse au format DEFLATE récupère parfaitement la charge utile.
La vulnérabilité réside dans le contournement des scanners : les contrôles de sécurité indiquent « aucune présence de logiciel malveillant » alors qu'un logiciel malveillant est bien présent et peut être facilement récupéré à l'aide d'outils d'attaquants.
Didier Stevens, chercheur en sécurité publié une méthode permettant d'examiner en toute sécurité le contenu d'un fichier ZIP « zombie » corrompu. Une façon de détecter cette manipulation consiste à comparer les champs de l'en-tête ZIP compressedsize et uncompressedsize. S'ils sont différents, cela signifie que le fichier ZIP n'est pas réellement ENREGISTRÉ, mais compressé.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
