В сфере кибербезопасности постоянно наблюдается эскалация "гонки вооружений": методы атак становятся сложнее, как и механизмы защиты. Однако, иногда обнаруживаются относительно простые уязвимости, которые позволяют вредоносному ПО обходить существующие защитные решения. Одной из таких уязвимостей, получивших название Zombie ZIP, является именно такой случай.
Принцип работы Zombie ZIP
Концепция Zombie ZIP базируется на манипуляции со служебными данными ZIP-архива. Заголовок ZIP-файла традиционно содержит метаинформацию: состав архива и метод компрессии. Суть уязвимости заключается в том, что можно создать ZIP-архив, в заголовке которого будет ложно указано, что его содержимое не сжато. В такой ситуации большинство антивирусных программ игнорируют дальнейший анализ файла. Для антивируса эти "несжатые" данные выглядят как хаотичный набор байтов, что не позволяет сопоставить их с сигнатурами известных вредоносов. Примечательно, что 60 из 63 существующих антивирусов, или более 95%, оказались не в состоянии обнаружить данную уловку.
Извлечение и обнаружение
Архивные файлы, созданные по такой схеме, не могут быть корректно извлечены стандартными архиваторами, такими как 7-Zip или WinRAR, поскольку они интерпретируются как поврежденные. Тем не менее, для успешного извлечения требуется вспомогательное приложение, которое способно распознать это несоответствие в заголовке. Исследователь, обнаруживший Zombie ZIP, смог решить эту проблему, написав небольшой скрипт на языке Python, состоящий всего из 12 строк кода. Уязвимости присвоен идентификатор CVE-2026-0866. До тех пор, пока антивирусное программное обеспечение не будет адаптировано для обнаружения атак типа Zombie ZIP, рекомендуется проявлять повышенную осторожность при работе с архивными файлами, полученными из сетевых источников.