Один из исследователей опубликовал «Zombie ZIP» — простой способ изменить первую часть (заголовок) ZIP-файла таким образом, чтобы он ложно указывал, что его содержимое не сжато, хотя на самом деле оно сжато.
Многие антивирусные продукты доверяют этому заголовку и никогда должным образом не распаковывают и не проверяют фактическое содержимое. В тестах, проведенных примерно через неделю после обнародования информации, около 60 из 63 распространенных антивирусных пакетов не смогли обнаружить скрытое таким образом вредоносное ПО — примерно 95 % движков пропустили его.
Zombie ZIP — это, по сути, метод создания ZIP-файла с ошибками, способного обойти обнаружение большинством антивирусных сканеров. Однако у этой техники есть одно существенное ограничение. Для правильного открытия такого ZIP-файла с ошибками требуется специальный загрузчик. Любая стандартная утилита для работы с архивами, такая как встроенная Windows , 7-Zip, WinRAR и другие, также определит этот файл как поврежденный.
Эта уязвимость зарегистрирована под номером CVE-2026-0866, хотя ряд исследователей в области кибербезопасности оспаривают необходимость ее классификации как уязвимости или присвоения ей номера CVE вообще. Тот факт, что для ее использования требуется специальный загрузчик, делает практически невозможным заражение этим методом системы, которая еще не была взломана.
Это по-прежнему позволяет антивирусным решениям обнаруживать как пользовательский загрузчик, так и любое известное вредоносное ПО после того, как полезный груз будет должным образом распакован. Другими словами, этот обход влияет только на первоначальную проверку ZIP-файла, но не на фактическое выполнение уже известного вредоносного ПО.
Malwarebytes/ThreatDown Кстати, оба файла были обнаружены этими продуктами.
Технические детали
На своей странице в GitHub (которая в настоящее время заблокирована Malwarebytes Browser Guard наличия подозрительного шаблона) исследователи объясняют, как работает метод «Zombie ZIP».
Изменив файл compressiontype до 0 (STORED)... утилиты, пытающиеся прочитать архив, предполагают, что содержимое файла просто хранится внутри ZIP-файла и не сжато.
«Движки AV полагаются на поле ZIP Method. Когда
Method=0 (STORED), они сканируют данные в виде необработанных несжатых байтов. Однако на самом деле данные сжаты с помощью алгоритма DEFLATE — поэтому сканер видит сжатый шум и не обнаруживает никаких сигнатур.CRC устанавливается в значение контрольной суммы несжатого содержимого, что приводит к дополнительному несоответствию, из-за которого стандартные программы для распаковки (7-Zip, unzip, WinRAR) выдают ошибки или извлекают поврежденные файлы.
Однако специально разработанный загрузчик, игнорирующий указанный метод и выполняющий распаковку в формате DEFLATE, без проблем восстанавливает полезные данные.
Уязвимость заключается в обходе сканеров: средства защиты сигнализируют об «отсутствии вредоносного ПО», хотя оно присутствует и может быть легко восстановлено с помощью инструментов злоумышленника.
Исследователь в области безопасности Дидье Стивенс опубликованный метод безопасного просмотра содержимого поврежденного ZIP-файла типа «зомби». Один из способов обнаружить подделку — сравнить поля заголовка ZIP-файла compressedsize и uncompressedsize. Если они различаются, это означает, что ZIP-файл на самом деле не СОХРАНЕН, а сжат.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
