Zombie ZIP漏洞披露:让WinRAR/7-Zip解压报错,已伪装绕过50款主流杀软
最近,网络安全圈被一项名为“Zombie ZIP”的新型攻击技术搅动。Bombadil Systems的研究员Chris Aziz最新披露的这项技术,利用了一个狡猾的漏洞,不仅能成功绕过VirusTotal平台上多达50款主流杀毒引擎的检测,还能让WinRAR、7-Zip这类常规解压工具在打开文件时报错,从而掩护真正的恶意代码执行。
根据技术博文的介绍,该漏洞被追踪为CVE-2026-0866,其设计初衷就是为了专门规避杀毒软件和终端检测与响应系统。从结果来看,它几乎在扫描器面前实现了“完全隐身”,这背后的原理颇值得玩味。
盲目的信任:漏洞核心在字段欺骗
问题的根源,出在安全工具对ZIP文件结构的“盲目信任”上。通常,杀毒引擎会读取ZIP文件的“Method”字段(即压缩方式)来判断如何处理内容。攻击者正是钻了这个空子:他们故意将该字段设置为“0”,这代表“STORED”,即文件未经压缩。
但事实却截然相反——文件内的数据实际上经过了DEFLATE算法压缩。这样一来,当安全工具按“未压缩”的声明去解析一堆经过压缩的数据时,读到的只能是一堆混乱无章的“压缩噪音”。这直接导致了一个严重结果:引擎无法从中匹配到任何已知的恶意软件特征码,最终只能无奈地将其标记为安全文件。
双重伪装:不仅隐身,还要制造障碍
更狡猾的是,这项技术不止于“隐身”。为了进一步隐藏踪迹并干扰分析,攻击者还会故意在文件中埋下解压障碍。具体来说,他们会把用于确保数据完整性的CRC校验值,设置为文件在“未压缩”状态下的校验和。
这就引发了一个矛盾的局面:常规解压工具(如WinRAR、7-Zip)按照文件头信息尝试解压时,会因为校验和不匹配而直接报错,或提示文件已损坏。普通用户看到错误提示,很可能就直接放弃了,以为这只是一个破损的无用文件。
然而,黑客手里握有“钥匙”。他们会使用专门定制的加载器,这个工具能够直接忽略伪造的文件头信息,正确解压并释放出隐藏在噪音之下的恶意代码。这样一来,恶意载荷便神不知鬼不觉地绕过了所有常规防线。目前,研究人员已在GitHub上公开了相关的概念验证代码及样本。
历史重演?官方建议验证机制需升级
鉴于该漏洞的严重威胁,计算机应急响应小组协调中心已于昨日正式发布安全公告,确认了CVE-2026-0866编号。有意思的是,CERT/CC在公告中指出,这个漏洞与二十多年前影响早期ESET杀毒软件的一个老漏洞(CVE-2004-0935)高度相似,这仿佛是一次安全威胁的“历史重演”。
那么,如何防御这种“僵尸压缩包”呢?CERT/CC给出的建议直指核心:安全工具供应商必须升级检测逻辑,不能单纯信任文件头声明。关键措施在于,将压缩方式字段与实际的数据内容进行交叉验证,并增强对结构异常压缩包的识别机制。换句话说,安全软件需要学会“亲眼查看”而不仅是“听信标签”。
