- Новая техника «Зомби-ZIP» позволяет вредоносным программам обходить антивирусные системы и средства защиты конечных устройств (EDR).
- Техника основана на манипуляции заголовками ZIP-архивов, что приводит к неправильному распознаванию сжатых данных как несжатых.
- Уязвимость получила идентификатор CVE-2026-0866, а CERT/CC рекомендует усилить проверку архивов и осторожно работать с подозрительными файлами.
Исследователь Крис Азиз из Bombadil Systems обнаружил новую уязвимость в методах обработки ZIP-архивов, получившую название «Зомби-ZIP». Эта техника позволяет вредоносному ПО ускользать от обнаружения современными антивирусными движками и инструментами Endpoint Detection and Response (EDR). Принцип работы заключается в использовании расхождений между заявленным методом сжатия в заголовках архивов и реальным алгоритмом, применённым к данным.
В частности, «Зомби-ZIP» эксплуатирует ситуацию, когда заголовок ZIP-файла указывает, что данные не сжаты (Method=0, STORED), однако на самом деле содержимое архивировано с помощью алгоритма DEFLATE — одного из стандартных методов сжатия. Антивирусы и средства безопасности доверяют записи в заголовке и сканируют данные как несжатые, что приводит к тому, что они не обнаруживают сигнатуры вредоносного кода, спрятанного в сжатых данных, воспринимаемых как «шум».
Одной из характерных особенностей техники является то, что популярные архивационные утилиты вроде WinRAR и 7-Zip при попытке извлечь такие файлы дают ошибку или повреждение данных. Вместе с тем, специально разработанный загрузчик, игнорирующий некорректный метод сжатия в заголовке, способен корректно распаковывать такие архивы и восстанавливать вредоносное содержимое.
Исследователь вместе с прототипом (PoC) опубликовал примеры таких архивов и технические детали на GitHub. Анализ на VirusTotal показал, что 50 из 51 антивирусного движка не смогли обнаружить угрозу в архивах с техникой «Зомби-ZIP».
Американский Координационный центр реагирования на компьютерные инциденты CERT/CC выпустил предупреждение об уязвимости под номером CVE-2026-0866. Ведомство рекомендует производителям программного обеспечения для безопасности проверять соответствие полей метода сжатия в ZIP-архивах фактическим данным и внедрять более жёсткие алгоритмы верификации. Также пользователям советуют с осторожностью обращаться с архивными файлами из ненадёжных источников и удалять файлы с ошибками распаковки.
Стоит отметить, что подобное нарушение проверки сжатия не является полностью новым — аналогичная уязвимость CVE-2004-0935 была открыта ещё в начале 2000-х годов и затрагивала некоторые версии антивируса ESET. Тем не менее, текущая техника охватывает современный форм-фактор ZIP-файлов и демонстрирует, насколько важно обновлять защитные алгоритмы.
Дополнительно сообщается, что вредоносная программа Gootloader уже использует подобные некорректно сформированные ZIP-архивы для обхода обнаружения, объединяя до тысячи архивов и затрудняя анализ. Вредоносные файлы при этом успешно распаковываются штатными средствами Windows, но вызывают сбои в популярных инструментах распаковки.
