✔Zombie ZIP позволяет скрывать малварь в архивах - «Новости»

13 марта 2026 11 Новости / Преимущества стилей / Вёрстка / Изображения / Текст 0

Специалист объясняет, что суть атаки заключается в манипуляции с заголовками файла ZIP. В поле Method выставляется значение 0 (STORED), то есть «данные не сжаты». Однако на деле содержимое архива сжимается алгоритмом Deflate. Антивирусы доверяют заголовку и пытаются сканировать содержимое как сырые байты, но видят лишь сжатый «шум», в котором не распознают сигнатуры.

При этом стандартные утилиты вроде WinRAR, 7-Zip или unzip при попытке распаковать такой архив сообщают об ошибке или извлекают поврежденные данные. Это происходит из-за того, что CRC-значение (контрольная сумма) в архиве задано для несжатой версии полезной нагрузки. Однако специально созданный загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, без проблем может извлечь скрытый пейлоад.

Азиз уже опубликовал PoC на GitHub, включая примеры архивов и подробное описание метода.

Координационный центр CERT (CERT/CC) уже выпустил предупреждение об этой технике атак. Проблеме был присвоен идентификатор CVE-2026-0866, и специалисты отмечают, что она напоминает уязвимость CVE-2004-0935, обнаруженную более 20 лет назад в ранней версии антивируса ESET.

При этом подчеркивается, что некоторые инструменты для распаковки все же могут корректно обрабатывать такие «зомби-архивы».

В CERT/CC рекомендуют разработчикам защитных решений валидировать поле метода сжатия по фактическим данным, добавить механизмы обнаружения несоответствий в структуре архивов и реализовать более агрессивные режимы проверки. Пользователям советуют с осторожностью относиться к архивам из незнакомых источников и удалять их, если при распаковке возникает ошибка «unsupported method».

ИБ-исследователь Крис Азиз (Chris Aziz) из компании Bombadil Systems разработал и продемонстрировал технику атак под названием Zombie ZIP, которая позволяет скрывать вредоносные нагрузки в ZIP-архивах таким образом, что их не замечают антивирусы и EDR. Специалист объясняет, что суть атаки заключается в манипуляции с заголовками файла ZIP. В поле Method выставляется значение 0 (STORED), то есть «данные не сжаты». Однако на деле содержимое архива сжимается алгоритмом Deflate. Антивирусы доверяют заголовку и пытаются сканировать содержимое как сырые байты, но видят лишь сжатый «шум», в котором не распознают сигнатуры. При этом стандартные утилиты вроде WinRAR, 7-Zip или unzip при попытке распаковать такой архив сообщают об ошибке или извлекают поврежденные данные. Это происходит из-за того, что CRC-значение (контрольная сумма) в архиве задано для несжатой версии полезной нагрузки. Однако специально созданный загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, без проблем может извлечь скрытый пейлоад. Азиз уже опубликовал PoC на GitHub, включая примеры архивов и подробное описание метода. Координационный центр CERT (CERT/CC) уже выпустил предупреждение об этой технике атак. Проблеме был присвоен идентификатор CVE-2026-0866, и специалисты отмечают, что она напоминает уязвимость CVE-2004-0935, обнаруженную более 20 лет назад в ранней версии антивируса ESET. При этом подчеркивается, что некоторые инструменты для распаковки все же могут корректно обрабатывать такие «зомби-архивы». В CERT/CC рекомендуют разработчикам защитных решений валидировать поле метода сжатия по фактическим данным, добавить механизмы обнаружения несоответствий в структуре архивов и реализовать более агрессивные режимы проверки. Пользователям советуют с осторожностью относиться к архивам из незнакомых источников и удалять их, если при распаковке возникает ошибка «unsupported method».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.