Добавить в корзинуПозвонить
Найти в Дзене
TrashExpert.ru: главный эксперт по гаджетам, технологиям и лайфхакам
397 подписчиков

Уязвимость Zombie ZIP маскирует малварь от 95% антивирусов

2 мин
Уязвимость Zombie ZIP помогает прятать вредоносный код в ZIP-архивах так, что его не видят почти все популярные антивирусы. Через шесть дней после публикации проблемы 60 из 63 антивирусных пакетов пропускали такой файл, то есть детектировали его меньше чем в 5% случаев. Трюк не про сложную криптографию или редкий баг в ядре. Он держится на том, что антивирусы доверяют метаданным архива, а ZIP может «соврать» о том, как упакованы данные. В начале ZIP лежит заголовок. В нём записано, что внутри и каким методом это сжато. В Zombie ZIP архив формально заявляет, что данные не сжаты, но реально содержит сжатый блок. ❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО Для многих антивирусов это выглядит как поток случайных байтов. Сигнатуры не совпадают, эвристика молчит, файл проходит дальше по цепочке. В описании техники даже всплыла фраза из Westworld: «It doesn’t look like anything to me» — «это не похоже ни на что». На практике это означает простую вещь: если ваш почтовы
Оглавление

Уязвимость Zombie ZIP помогает прятать вредоносный код в ZIP-архивах так, что его не видят почти все популярные антивирусы. Через шесть дней после публикации проблемы 60 из 63 антивирусных пакетов пропускали такой файл, то есть детектировали его меньше чем в 5% случаев.

Трюк не про сложную криптографию или редкий баг в ядре. Он держится на том, что антивирусы доверяют метаданным архива, а ZIP может «соврать» о том, как упакованы данные.

Как работает Zombie ZIP: архив врёт в заголовке

В начале ZIP лежит заголовок. В нём записано, что внутри и каким методом это сжато. В Zombie ZIP архив формально заявляет, что данные не сжаты, но реально содержит сжатый блок.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Для многих антивирусов это выглядит как поток случайных байтов. Сигнатуры не совпадают, эвристика молчит, файл проходит дальше по цепочке. В описании техники даже всплыла фраза из Westworld: «It doesn’t look like anything to me» — «это не похоже ни на что».

На практике это означает простую вещь: если ваш почтовый шлюз, EDR или антивирус на рабочей станции полагается на стандартную распаковку и проверку, ZIP с подменёнными полями может пройти как «чистый».

Почему 7-Zip и WinRAR не распакуют, но малварь всё равно запустят

У такого архива есть побочный эффект: он технически повреждён. Поэтому обычные архиваторы вроде 7-Zip или WinRAR чаще всего не смогут его извлечь.

Но это не спасает. К архиву легко добавить маленькую программу-загрузчик, которая «понимает» несовпадение в заголовке и достаёт реальное содержимое. И уже там может лежать полезная нагрузка с малварью.

Исследователь выложил proof-of-concept на Python: загрузчик занимает примерно дюжину строк кода. То есть порог входа для злоумышленников низкий, а эффект — массовый.

Почему антивирусам трудно закрыть дыру без лавины ложных срабатываний

Кажется логичным: «ловите загрузчики, которые распаковывают странные ZIP». Но в реальности распаковка ZIP — бытовая операция для софта. Её делают игры, лаунчеры, корпоративные клиенты, апдейтеры и скрипты администрирования.

Если антивирус начнёт агрессивно банить такие сценарии, он рискует получить огромный объём false positive. Поэтому индустрии придётся найти баланс: научиться корректно разбирать такие архивы и проверять содержимое, не ломая легитимные процессы.

Пока производители защитных решений догоняют, системным администраторам советуют относиться к ZIP-файлам в трафике с повышенной осторожностью. Для инцидент-реагирования и трекинга уже есть идентификаторы: CVE-2026-0866 и бюллетень CERT VU#976247.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Полезные ссылки: CERT VU#976247, CVE-2026-0866, репозиторий Zombie ZIP.

Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.

Уязвимость Zombie ZIP маскирует малварь от 95% антивирусов ⚡️