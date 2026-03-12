ИБ-исследователь Крис Азиз (Chris Aziz) из компании Bombadil Systems разработал и продемонстрировал технику атак под названием Zombie ZIP, которая позволяет скрывать вредоносные нагрузки в ZIP-архивах таким образом, что их не замечают антивирусы и EDR.

Специалист объясняет, что суть атаки заключается в манипуляции с заголовками файла ZIP. В поле Method выставляется значение 0 (STORED), то есть «данные не сжаты». Однако на деле содержимое архива сжимается алгоритмом Deflate. Антивирусы доверяют заголовку и пытаются сканировать содержимое как сырые байты, но видят лишь сжатый «шум», в котором не распознают сигнатуры.

При этом стандартные утилиты вроде WinRAR, 7-Zip или unzip при попытке распаковать такой архив сообщают об ошибке или извлекают поврежденные данные. Это происходит из-за того, что CRC-значение (контрольная сумма) в архиве задано для несжатой версии полезной нагрузки. Однако специально созданный загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, без проблем может извлечь скрытый пейлоад.

Азиз уже опубликовал PoC на GitHub, включая примеры архивов и подробное описание метода.

Координационный центр CERT (CERT/CC) уже выпустил предупреждение об этой технике атак. Проблеме был присвоен идентификатор CVE-2026-0866, и специалисты отмечают, что она напоминает уязвимость CVE-2004-0935, обнаруженную более 20 лет назад в ранней версии антивируса ESET.

При этом подчеркивается, что некоторые инструменты для распаковки все же могут корректно обрабатывать такие «зомби-архивы».

В CERT/CC рекомендуют разработчикам защитных решений валидировать поле метода сжатия по фактическим данным, добавить механизмы обнаружения несоответствий в структуре архивов и реализовать более агрессивные режимы проверки. Пользователям советуют с осторожностью относиться к архивам из незнакомых источников и удалять их, если при распаковке возникает ошибка «unsupported method».