ZIP-архивы уже много лет используются не только для удобного хранения файлов, но и как инструмент кибератак. Классические «ZIP-бомбы» и другие архивные трюки позволяют злоумышленникам доставлять вредоносное ПО на компьютеры жертв, обходя защитные механизмы.
Теперь исследователи описали новую технику, которая может оказаться ещё более коварной. Метод получил название Zombie ZIP — и, по словам его авторов, он способен скрывать вредоносные программы так, что большинство антивирусов просто не распознаёт угрозу.
При этом некоторые эксперты считают, что речь идёт не столько о настоящей уязвимости, сколько о побочном эффекте того, как изначально был спроектирован формат ZIP.
Как работает атака Zombie ZIP
Основная идея метода связана с манипуляцией заголовком ZIP-архива.
В каждом архиве есть специальная структура данных — header, или заголовок. Он содержит служебную информацию:
- способ сжатия
- флаги архива
- версию формата
- параметры, необходимые для распаковки
Обычно архиваторы используют эти данные, чтобы определить, как именно нужно извлекать содержимое файла.
Техника Zombie ZIP намеренно повреждает поле метода сжатия в заголовке. В результате программы для работы с архивами — например 7-Zip или WinRAR — не могут понять, каким алгоритмом сжат архив.
Антивирусы в таком случае часто делают вывод, что файл содержит лишь бесполезные или случайные данные, и прекращают дальнейший анализ.
Но на самом деле вредоносный код внутри архива никуда не исчезает.
Старый алгоритм — новая маскировка
Несмотря на повреждённый заголовок, данные внутри файла всё равно сжаты обычным алгоритмом Deflate.
Этот алгоритм был разработан ещё в 1990 году создателем программы PKZIP Филом Кацем (Phil Katz) и остаётся одним из самых распространённых способов сжатия данных.
Таким образом получается своеобразный обман:
- архив выглядит повреждённым
- стандартные инструменты не могут его открыть
- антивирус считает файл безопасным
Но злоумышленник может использовать специальный инструмент, который игнорирует поле метода сжатия и напрямую распаковывает поток данных. Тогда вредоносный код извлекается без проблем.
Почему антивирусы могут пропустить угрозу
Уязвимость получила идентификатор CVE-2026-0866.
По данным авторов исследования, техника Zombie ZIP может обходить обнаружение примерно 98% антивирусных систем, проверенных через платформу VirusTotal.
Сообщается, что даже такие известные продукты, как:
- Bitdefender
- Kaspersky
- Microsoft Defender
в некоторых тестах не распознавали подозрительный архив.
Исследователи называют эту технику простым, но потенциально эффективным способом доставки вредоносного ПО.
Споры среди специалистов
Однако не все эксперты согласны с тем, что Zombie ZIP действительно является уязвимостью.
Некоторые аналитики по вредоносному ПО отмечают: если стандартные архиваторы не могут прочитать файл, то он фактически выглядит как повреждённый или зашифрованный набор данных.
В этом смысле он мало отличается от ZIP-архивов, защищённых паролем. Их содержимое также невозможно проверить без специального инструмента.
Исследователи из Carnegie Mellon University, работающие в центре CERT Coordination Center, отмечают, что некоторые программы всё же способны корректно распознавать такие архивы и извлекать скрытые данные.
Что это значит для пользователей и разработчиков
Специалисты по безопасности считают, что разработчикам антивирусов стоит изменить подход к анализу архивов.
Вместо того чтобы полностью полагаться на данные заголовка файла, защитные системы должны проверять фактическую структуру сжатых данных.
Для обычных пользователей рекомендации остаются прежними:
- не открывать архивы из неизвестных источников
- не запускать файлы из подозрительных вложений
- использовать обновлённые антивирусные решения
Даже если архив выглядит просто «сломанным», это ещё не означает, что внутри нет вредоносного кода.
