Обнаружена относительно простая уязвимость под название Zombie ZIP, которая помогает вредоносам обходить защиту антивирусных программ. Уязвимости уже присвоен идентификатор CVE-2026-0866.
По словам исследователей, схема работы вредоноса крайне проста. Заголовок, начальная часть архива в формате ZIP, обычно содержит информацию о содержимом файла и способе его сжатия. Но можно создать архив, в служебной части которого приводится недостоверное утверждение, что его содержимое не является сжатым, и тогда большинство антивирусных программ не будет анализировать этот файл. При этом файл как раз содержит вредоносный код в сжатом формате.
Большинство антивирусных решений не могут среагировать, так как данные об архиве считываются как случайный набор байтов и не совпадают с известными сигнатурами вредоносного ПО. На данное время эту уловку не обнаруживают 60 из 63 антивирусов, то есть более 95%.
Созданный таким образом архивный файл не удается извлечь с помощью 7-Zip или WinRAR, потому что технически он считается поврежденным. Решить проблему позволяет используемое совместно с архиватором небольшое приложение, способное обнаружить это несоответствие. Обнаруживший эту уязвимость исследователь решил задачу, написав всего 12 строк на Python.
Пока производители антивирусов не обновят алгоритмы, рекомендуется быть осторожными при загрузке подобных файлов.
