Эксперты обнаружили способ обхода антивирусов через ZIP-архивы

Исследователи в области информационной безопасности сообщили о новой технике сокрытия вредоносного кода в архивных файлах. Метод получил название Zombie ZIP и позволяет обходить большинство антивирусных систем.

Автор подхода, специалист компании Bombadil Systems Крис Азиз, заявил, что созданный им способ успешно прошел проверку против 50 из 51 антивирусного движка на сервисе VirusTotal.

Суть метода заключается в изменении служебных полей в заголовке ZIP-архива. В результате защитные системы считают, что внутри файла находятся обычные несжатые данные, и анализируют его именно в таком виде. Однако фактическое содержимое остается сжатым с использованием алгоритма DEFLATE. Из-за этого антивирусы получают поток сжатых байтов, который не соответствует известным сигнатурам вредоносного программного обеспечения.

Для обычных пользователей подобные архивы также выглядят нестандартно. При попытке открыть их с помощью популярных программ, например 7‑Zip, WinRAR или утилиты unzip, могут возникать ошибки или сообщения о поврежденных данных. Это связано с намеренно измененными контрольными значениями CRC, которые не совпадают с ожидаемыми параметрами распаковки.

При этом злоумышленник может использовать собственный загрузчик, игнорирующий ложные заголовки. В таком случае содержимое архива корректно распаковывается и вредоносная нагрузка становится доступной.

Демонстрационные примеры архивов и описание метода исследователь опубликовал на платформе GitHub. Уязвимости был присвоен идентификатор CVE‑2026‑0866 организацией CERT Coordination Center. Специалисты отмечают, что проблема напоминает уязвимость CVE‑2004‑0935, выявленную более двадцати лет назад и связанную с чрезмерным доверием антивирусных систем к некорректным заголовкам архивов.