Мэлверы, замаскированные под битые ZIP-архивы, обходят большинство антивирусных движков. Новая атака, получившая название Zombie ZIP, основана на преднамеренном искажении заголовка сжатого файла, что заставляет сканеры воспринимать его как бесполезный «сжатый шум», в то время как внутри скрывается полноценный вредоносный код, сжатый стандартным алгоритмом Deflate. По словам авторов метода, около 98 % антивирусных продуктов, протестированных через VirusTotal, не способны распознать угрозу, включая такие крупные решения, как Microsoft Defender, Kaspersky и Bitdefender.
Суть атаки — в манипуляции полем ZIP-заголовка. Обычные архиваторы вроде 7-Zip или WinRAR видят искаженную информацию и не могут распаковать файл, считая его глубоко поврежденным. Антивирусы, в свою очередь, доверяют заголовку и не пытаются анализировать содержимое глубже. Однако злоумышленник, использующий специальную утилиту, которая игнорирует испорченный заголовок и читает поток данных напрямую, спокойно извлекает вредоносный код. Уязвимость получила обозначение CVE-2026-0866.
Эксперты по безопасности разделились во мнении, насколько серьезна эта проблема. Некоторые аналитики считают, что если стандартные программы не могут интерпретировать архив, то он эквивалентен зашифрованному или просто битому файлу, требующему специализированного инструмента для открытия — и потому не является классической уязвимостью. Другие указывают, что само наличие такого обходного пути для доставки вредоносного кода требует внимания со стороны разработчиков антивирусов.
Исследователи, изучавшие эту проблему в Университете Карнеги-Меллона, отмечают, что некоторые инструменты все же способны распознать манипуляцию и корректно распаковать скрытые данные. Они рекомендуют производителям антивирусов не полагаться исключительно на ожидаемую структуру метаданных при сканировании архивов. Для обычных пользователей совет остается неизменным: с осторожностью относиться абсолютно к любым загруженным архивам, особенно из ненадежных источников.
