«Зомби-ZIP»: новый метод маскировки вирусов обманывает почти все антивирусы

Хакеры меняют технические данные файла так, чтобы антивирусы воспринимали сжатое содержимое как обычные несжатые данные.

Специалисты по кибербезопасности обнаружили новую лазейку, которая позволяет хакерам беспрепятственно доставлять вредоносные программы на компьютеры пользователей. Технология под названием «Зомби-ZIP» делает опасные файлы «невидимыми» для защитных систем: во время тестов метод успешно обманул 50 из 51 популярного антивируса на платформе VirusTotal.

Суть проблемы заключается в манипуляции заголовками архивов. Хакеры меняют технические данные файла так, чтобы антивирус или EDR-система (средства защиты конечных устройств) воспринимали сжатое содержимое как обычные несжатые данные. В итоге защитные программы «видят» лишь цифровой шум там, где на самом деле спрятан вирус.

Автором открытия стал исследователь Крис Азиз из компании Bombadil Systems.

«Антивирусные движки доверяют полю «Метод ZIP». Они сканируют данные как необработанные несжатые байты. Но данные фактически сжаты с помощью алгоритма – поэтому сканер видит сжатый шум и не находит сигнатур», – объясняет исследователь.

Обычные пользователи могут заметить подвох, попытавшись открыть такой файл стандартными программами вроде WinRAR или 7-Zip – они выдадут ошибку о повреждении архива. Но злоумышленники используют специальные загрузчики, которые игнорируют ошибки заголовков и легко распаковывают вредонос.

«Однако специально разработанный загрузчик, который игнорирует заявленный метод и декомпрессирует как DEFLATE, идеально восстанавливает полезный груз», – поделился подробностями Азиз.

Особо опасен

Координационный центр CERT уже присвоил этой угрозе идентификатор CVE-2026-0866. Эксперты отмечают, что это «хорошо забытое старое»: аналогичная уязвимость встречалась более двадцати лет назад в ранних версиях антивируса ESET.

Подобные тактики уже начинают применять на практике. Например, вредоносное ПО Gootloader использует специально «испорченные» архивы, чтобы вызывать сбои в инструментах анализа и проникать в системы.

Для обеспечения безопасности специалисты CERT/CC рекомендуют разработчикам защитного ПО внедрить более жесткую проверку структуры архивов. Рядовым же пользователям советуют проявлять предельную бдительность: если при попытке открыть присланный файл программа выдает ошибку «неподдерживаемый метод», такой архив следует немедленно удалить.