Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Новата техника „Zombie ZIP“ им овозможува на малверите да ги заобиколат безбедносните алатки

Објавено: 11.03.2026

Нова техника наречена „Zombie ZIP“ овозможува сокривање на малициозен payload во компресирани датотеки кои се специјално креирани за да избегнат детекција од безбедносни решенија како антивируси и EDR (Endpoint Detection and Response) алатки.

Кога овие датотеки се обидуваат да се отпакуваат со стандардни алатки како WinRAR или 7-Zip, резултатот е грешка или оштетени податоци. Техниката функционира така што ги манипулира ZIP header-ите за да ги измами системите за парсирање да ги третираат компресираните податоци како некомпресирани.

Наместо архивата да биде означена како потенцијално опасна, безбедносните алатки му веруваат на header-от и ја скенираат датотеката како да е оригинална датотека ставена во ZIP контејнер без компресија.

Техниката „Zombie ZIP“ е развиена од безбедносниот истражувач Chris Aziz од Bombadil Systems, кој открил дека функционира против 50 од 51 антивирусни engine-и на VirusTotal.

„Антивирусните engine-и му веруваат на полето ZIP Method. Кога Method=0 (STORED), тие ги скенираат податоците како сурови, некомпресирани бајти. Но податоците всушност се компресирани со DEFLATE, па скенерот гледа само компресиран ‘шум’ и не наоѓа сигнатури,“ објаснува истражувачот.

Напаѓач може да креира loader кој го игнорира header-от и ја третира архивата онаква каква што навистина е: податоци компресирани со Deflate алгоритам, кој се користи во модерните ZIP датотеки.

Истражувачот објавил proof-of-concept (PoC) на GitHub, каде што споделил пример архиви и дополнителни детали за начинот на функционирање на методот.

За да се предизвика грешка кај популарните алатки за отпакување (како 7-Zip, unzip, WinRAR), истражувачот објаснува дека CRC вредноста, која ја проверува интегритетот на податоците, треба да се постави на checksum-от на некомпресираниот payload.

„Сепак, loader кој е специјално направен и го игнорира декларираниот метод и ја декомпресира датотеката како DEFLATE, може совршено да го врати payload-от,“ вели Азиз.

Вчера CERT Coordination Center (CERT/CC) објави безбедносен билтен за да предупреди за „Zombie ZIP“ и да ја зголеми свеста за ризиците што ги носат неправилно формирани архивски датотеки.

Иако ваквите манипулирани header-и можат да ги измамат безбедносните алатки, агенцијата наведува дека некои алатки за екстракција сепак можат правилно да ја декомпресираат ZIP архивата.

За овој безбедносен проблем е доделен CVE идентификаторот CVE-2026-0866, кој според агенцијата е сличен на ранливост откриена пред повеќе од две децении, CVE-2004-0935, што влијаела на рана верзија на антивирусниот софтвер на ESET.

CERT/CC препорачува производителите на безбедносни алатки:

  • да ги валидираат полињата за методот на компресија со вистинските податоци
  • да додадат механизми за откривање на несогласувања во структурата на архивата
  • да имплементираат поагресивни режими за инспекција на архиви

Корисниците треба внимателно да ракуваат со архивски датотеки, особено ако доаѓаат од непознати контакти. Доколку обидот за отпакување заврши со грешка како „unsupported method“, датотеката треба веднаш да се избрише.

Извори:

  • Bleeping Computer – New ‘Zombie ZIP’ technique lets malware slip past security tools Bleeping Computer