Реклама. 18+. Рекламодатель ООО "ЮЗЕРГЕЙТ", ИНН 5408308256, erid:2SDnjebHh8M
Image

UserGate Open Conf 2026

Соберём 3000+ экспертов ИБ в одном месте. Роадмапы, лабы, нагрузочные тестирования и анонсы двух новых продуктов. Регистрация открыта!

ZIP-архив Шрёдингера: для антивируса внутри ничего нет, а для хакера там рабочий вирус

leer en español

Zombie ZIP Крис Азиз Bombadil Systems CERT Coordination Center CVE-2026-0866 ZIP-архивы вредоносное ПО
ZIP-архив Шрёдингера: для антивируса внутри ничего нет, а для хакера там рабочий вирус
Zombie ZIP Крис Азиз Bombadil Systems CERT Coordination Center CVE-2026-0866 ZIP-архивы вредоносное ПО

Изучаем феномен Zombie ZIP, обманывающего зрение программных сканеров.

image

Исследователи обратили внимание на новый приём маскировки вредоносного кода в ZIP-архивах. Метод получил название «Zombie ZIP» и позволяет прятать полезную нагрузку в архивах так, что большинство средств защиты принимает их содержимое за безопасные данные.

Технику разработал специалист по безопасности компании Bombadil Systems Крис Азиз. Приём основан на манипуляции заголовками ZIP-архива. Злоумышленник изменяет поле, которое указывает способ сжатия, заставляя анализаторы считать, что файл внутри архива хранится без сжатия. Антивирусы и системы обнаружения угроз доверяют такому значению и проверяют содержимое как обычные несжатые данные.

На деле внутри архива находится файл, сжатый алгоритмом Deflate — стандартным способом сжатия для ZIP. В результате защитные механизмы видят лишь бессмысленный набор байтов и не находят сигнатур вредоносного кода. По данным Криса Азиза, техника обходит 50 из 51 антивирусного движка, доступного на платформе VirusTotal.

При попытке распаковать такой архив стандартными утилитами, включая 7-Zip, WinRAR или unzip, появляется ошибка или сообщение о повреждённых данных. Причина в специально изменённом контрольном значении CRC, которое соответствует контрольной сумме уже распакованного файла. Из-за такого несоответствия популярные программы считают архив повреждённым.

Однако вредоносная программа может игнорировать указанный в заголовке способ сжатия и просто распаковать данные как Deflate. В таком случае скрытая полезная нагрузка извлекается без ошибок. Крис Азиз опубликовал демонстрационный код и образцы архивов на GitHub, чтобы показать принцип работы техники.

На ситуацию обратил внимание Центр координации CERT. Организация выпустила предупреждение и присвоила проблеме идентификатор CVE-2026-0866. Представители центра отметили сходство с уязвимостью CVE-2004-0935, обнаруженной более двадцати лет назад в ранних версиях антивируса ESET.

Специалисты центра считают, что разработчикам средств защиты необходимо проверять соответствие между указанным методом сжатия и фактическими данными архива. Дополнительные механизмы анализа структуры архивов и более строгие режимы проверки помогут выявлять подобные несоответствия.

Также подчёркивается необходимость осторожного обращения с архивными файлами из неизвестных источников. Ошибка «unsupported method» при распаковке может указывать на попытку скрыть вредоносное содержимое, поэтому такие файлы лучше сразу удалить.