详细内容或原文请订阅后点击阅览
Zombie ZIP 方法可以在首次扫描期间欺骗防病毒软件
研究人员发布了有关 Zombie ZIP 漏洞(或者不是漏洞,这是有争议的)的信息,该漏洞可以绕过第一次 AV 检查。
来源:Malwarebytes Labs 博客一位研究人员发布了“Zombie ZIP”,这是一种更改 ZIP 文件第一部分(标头)的简单方法,因此它错误地声称其内容未压缩,而实际上它们是压缩的。
许多防病毒产品信任该标头,并且从不正确解压缩或检查真正的有效负载。在披露后大约一周进行的测试中,63 个常见防病毒套件中约有 60 个未能检测到以这种方式隐藏的恶意软件,大约 95% 的引擎让它通过。
Zombie ZIP 本质上是一种创建格式错误的 ZIP 文件的方法,该文件可以绕过大多数防病毒扫描程序的检测。不过,该技术有一个重大警告。格式错误的 ZIP 文件需要自定义加载程序才能正确打开它。任何普通的存档实用程序(例如内置 Windows 提取器、7-zip、WinRAR 等)也会将文件标记为格式错误。
该漏洞被跟踪为 CVE-2026-0866,尽管一些网络安全研究人员对是否应将其归类为漏洞或分配 CVE 存在争议。 事实上,它需要自定义加载程序,因此该方法几乎不可能感染尚未受到损害的系统。
一旦有效负载被正确解压,它仍然允许反恶意软件解决方案检测自定义加载程序和任何已知的恶意软件。换句话说,绕过仅影响 ZIP 文件的初始检查,而不影响已知恶意软件的实际执行。
Malwarebytes/ThreatDown 产品检测到了这两个文件。
技术细节
在他们的 GitHub 页面(目前由于存在风险模式而被 Malwarebytes Browser Guard 屏蔽)上,研究人员解释了 Zombie ZIP 方法的工作原理。
通过将文件的压缩类型更改为 0(存储),尝试读取存档的工具会假定文件的内容只是存储在 ZIP 文件内而不是压缩的。
CRC 设置为未压缩有效负载的校验和,从而产生额外的不匹配,导致标准提取工具(7-Zip、unzip、WinRAR)报告错误或提取损坏的输出。