3 月 11 日消息,网络安全公司 Bombadil Systems 研究员 Chris Aziz 最新披露 Zombie ZIP 漏洞技术,成功绕过 50 款主流杀毒引擎检测,利用 WinRAR、7-Zip 等常规解压文件遇到的报错,执行恶意代码。
IT之家援引博文介绍,该漏洞技术追踪编号为 CVE-2026-0866,专为规避杀毒软件和终端检测与响应(EDR)系统而设计,成功绕过了 VirusTotal 平台上 50 款主流杀毒引擎,几乎实现了完全的“隐身”。
在技术原理方面,研究人员解释称,杀毒引擎通常会盲目信任 ZIP 文件的“Method”(压缩方式)字段。攻击者将该字段设置为“0”(即 STORED,代表未压缩),但实际上内部数据却采用了 DEFLATE 算法进行压缩。
在安全工具扫描该文件后,读取到的只是一堆混乱的“压缩噪音”,从而无法匹配到任何恶意软件的特征码,最终将其误判为安全文件。
该技术为进一步隐藏踪迹,还会故意制造解压障碍。研究人员指出,通过将确保数据完整性的 CRC 校验值设置为未压缩状态下的校验和,常规解压工具(如 WinRAR、7-Zip 等)在尝试提取文件后,会直接报错或显示数据损坏。
然而,黑客会使用专门定制的加载器,直接无视伪造的文件头,解压并释放出隐藏的恶意代码。研究人员目前已在 GitHub 上发布了概念验证(PoC)及样本。
针对这一严重威胁,计算机应急响应小组协调中心(CERT / CC)昨日正式发布安全公告,并为该漏洞分配了编号 CVE-2026-0866。该机构指出,这与二十多年前影响早期 ESET 杀毒软件的一个漏洞(CVE-2004-0935)高度相似。
CERT / CC 建议安全工具供应商必须将压缩字段与实际数据进行交叉验证,并增加检测机制以识别结构异常的压缩包。
