Zombie ZIP: новый метод обмана антивирусов прячет вредонос в «битых» архивах
Исследователь Крис Азиз из Bombadil Systems опубликовал технику Zombie ZIP, которая позволяет обходить практически все антивирусные движки. В тесте на VirusTotal метод сработал против 50 из 51 сканера - вредоносный файл EICAR, упакованный в специально сформированный ZIP-архив, заметил только Kingsoft.
Суть метода - в подмене служебного поля Compression Method в заголовке ZIP. Антивирусу сообщается, что данные хранятся без сжатия (Method=0, STORED), и он сканирует содержимое как есть. Однако на самом деле полезная нагрузка сжата алгоритмом DEFLATE. В результате сканер видит лишь «шум» из сжатых байтов, сигнатуры не срабатывают, и архив признаётся чистым.
Дополнительную путаницу создаёт несоответствие CRC: в заголовке указана контрольная сумма распакованных данных, а не тех, что лежат в архиве. Из-за этого стандартные распаковщики (7-Zip, WinRAR, unzip) выдают ошибку или извлекают битые файлы. Но если у злоумышленника есть собственный загрузчик, который игнорирует поле Method и принудительно распаковывает содержимое как DEFLATE (например, через стандартную библиотеку zlib), вредонос восстанавливается без проблем.
Автор выложил на GitHub демонстрационный эксплойт с PoC-кодом (zombie_zip.py) и примерами архивов. Проблеме присвоен идентификатор CVE-2026-0866. В CERT/CC отмечают, что техника перекликается со старой уязвимостью CVE-2004-0935, известной более 20 лет назад, но реализована на новом уровне - через рассинхронизацию поля метода сжатия.
Zombie ZIP - это не способ взлома конечного пользователя, а метод доставки вредоноса, который позволяет обойти шлюзы электронной почты, сетевые сканеры и endpoint-решения. Архив проходит через защитные периметры как «мусор», а затем распаковывается специальным дроппером уже на устройстве жертвы.
похожие материалы
«Газинформсервис» представил квартальное обновление Efros DefOps 2.14: диагностика RADIUS, интеграция с Check Point и совместимость с Ред ОС 8
Компания «Газинформсервис» выпустила релиз 2.
RIGF 2026: в России построен комплексный цифровой суверенитет
Современные операторы связи сталкиваются с беспрецедентными вызовами: взрывном рост трафика, усложнением архитектуры сетей, участившиеся кибератаки и постоянно растущие ожидания абонентов от качества и непрерывности сервиса.
22 из 30 популярных российских Android-приложений умеют выявлять VPN
RKS Global опубликовала исследование, в котором утверждает, что 22 из 30 популярных российских Android-приложений умеют определять наличие VPN на устройстве, а 19 из них еще и передают этот статус на сервер.
Сайт CPUID взломали и сутки раздавали STX RAT под видом CPU-Z и HWMonito
Сайт CPUID, через который распространяются CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был скомпрометирован.
Дуров заявил, что Telegram за 12 лет не раскрыл ни одного байта переписки пользователей
Павел Дуров заявил, что за всю 12-летнюю историю Telegram не раскрыл ни одного байта сообщений пользователей.
Мошенники начали делать россиян «админами» чужих каналов для шантажа
Мошенники начали использовать новую схему давления через Telegram-каналы.
Мошенники начали рассылать фальшивые письма о долгах по членским взносам
Т-Банк предупредил о новой схеме мошенничества с поддельными письмами об оплате членских взносов.
«Боцман» 3.2: больше контроля для ИБ и удобства для разработчиков
Компания «Платформа Боцман» (входит в «Группу Астра») выпустила новую версию корпоративного решения для управления контейнерными средами — «Боцман» 3.
Анатомия ландшафта киберугроз: ИТ-сектор вытеснил финансы из тройки самых атакуемых отраслей в 2025 году
По данным глобального отчёта «Анатомия ландшафта киберугроз» от экспертов центра сервисов по кибербезопасности «Лаборатории Касперского», государственные учреждения и промышленность остаются самыми привлекательными целями для злоумышленников — в 2025 году на них пришлось больше всего инцидентов высокой критичности.
В Коврове состоится конференция по вопросам безопасности объектов и территорий «БРОНЯ-2026»
Мероприятие объединит представителей силовых ведомств, разработчиков средств защиты и научное сообщество.