Новата техника “Zombie ZIP” заобикаля антивируси и EDR решения

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Как работи “Zombie ZIP”

Изследователят по киберсигурност Крис Азиз от Bombadil Systems откри нова техника за скриване на зловреден софтуер в компресирани ZIP файлове, наречена “Zombie ZIP”. Тя позволява на атакуващи да създават архиви, които заобикалят антивирусни продукти и EDR решения, като ги кара да вярват, че данните са необработени и безопасни.

  • Архивите са модифицирани чрез манипулиране на ZIP заглавките.

  • Когато стандартни инструменти като WinRAR, 7-Zip или unzip се опитат да ги отворят, резултатът е грешка или повредени данни.

  • Методът работи, като в ZIP заглавката се декларира Method=0 (STORED), което кара скенерите да третират съдържанието като необработени байтове, въпреки че реално е DEFLATE компресирано.

„AV двигателите се доверяват на полето Method. Когато Method=0, те сканират данните като необработени байтове. Но данните са DEFLATE компресирани – скенерът вижда шум и не намира сигнатури“, обяснява Азиз.

Как атакуващите възстановяват payload-а

За да извлекат зловредното съдържание, атакуващите могат да използват специален loader, който игнорира декларирания метод и третира данните като реално DEFLATE компресирани. Така payload-ът се възстановява напълно, дори ако стандартните инструменти връщат грешки.

  • За да се предизвика грешка в популярните архивиращи инструменти, се използва CRC стойността на оригиналния некомпресиран файл.

  • По този начин архивът изглежда повреден за стандартните програми, но loader-ът го декомпресира коректно.

Рискове и мерки за защита

  • CVE идентификаторът на уязвимостта е CVE-2026-0866, подобна на старата уязвимост CVE-2004-0935 за ESET.

  • CERT Coordination Center (CERT/CC) публикува бюлетин, предупреждаващ за опасността от неправилно форматирани ZIP файлове.

Препоръки за потребители:

  1. Подхождайте внимателно към ZIP файлове от непознати контакти.

  2. Изтрийте файловете веднага, ако при опит за извличане получите съобщение за unsupported method.

  3. Доставчици на сигурност трябва да проверяват съответствието между Method полето и реалните данни, да откриват структурни несъответствия и да прилагат по-агресивни режими за инспекция на архиви.

#CVE-2026-0866, # DEFLATE компресия, # EDR, # ZIP архив, # Zombie ZIP, # антивируси, # зловреден код
e-security.bg

Подобни

Earth Lusca разширява арсенала си с Windows версии на SprySOCKS
17.06.2026
china
DragonForce използва Microsoft Teams инфраструктура за скрит контрол
17.06.2026
China_dragon
Китай използва malware срещу медицински изследователски организации
16.06.2026
spyware
Украинeц се призна за виновен за участие в операциите на Conti ransomware
15.06.2026
ransomware
Защо RDP се превръща в предпочитано оръжие на съвременния рансъмуер
14.06.2026
gettyimages-1355321121
ShinyHunters е използвала zero-day уязвимост в Oracle PeopleSoft
14.06.2026
Oracle

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy