安全研究人员近日披露了一个代号为“僵尸ZIP”(Zombie ZIP)的重大安全漏洞。网络安全公司Bombadil Systems研究员Chris Aziz发现该漏洞后发布预警,当前主流的50款防病毒引擎均无法识别利用该漏洞的恶意ZIP文件。
其攻击原理是,黑客篡改ZIP压缩包的格式标头。绝大多数防毒软件在扫描时会直接采信压缩包的“Method”字段。攻击者将此字段设为“0”,即代表文件未压缩。此举误导杀毒引擎,使其误以为压缩包内仅包含原始文件,因无需深度解压而跳过检测,仅读取到一堆无法解析的“压缩噪音”,从而让潜藏的恶意代码躲过扫描。
与此同时,针对WinRAR、7-Zip等解压工具,黑客故意设定了伪造的CRC校验值。该数值符合未压缩状态下数据应有的校验结果,但ZIP文件里实际封装了使用自定义DEFLATE压缩算法的恶意程序加载器。当解压软件运行遇到格式或CRC校验错误时,由于编程逻辑会忽视头部错误数据而尝试修复,通常会继续解压后续的正常内容,最终将恶意程序成功释放到用户电脑上。
这种在解压前和解压后分别欺骗杀毒软件和解析工具的手法,形成一个完整的恶意链条。杀毒引擎被头文件迷惑、错判安全性,而用户的解压缩软件又会执行加载并释放内藏的病毒,整个过程形成双重盲点。一旦用户不慎执行释放出的文件,系统控制权便可能易手。
CERT/CC已将这一漏洞识别为CVE-2026-0866,并指出它与多年前的CVE-2004-0935存在相似性,核心都是杀毒引擎对文件头部信息审查不足导致的。官方警示称,防范这种攻击必须依靠厂商升级补丁,改进逻辑以同时验证压缩字段与实际文件内容是否匹配。
在漏洞补丁推出前,专家建议所有用户避免打开来历不明的ZIP压缩包,尤其警惕内含的可执行文件。此次事件提醒用户需对未知来源的压缩包保持高度警觉,这也是全球所有使用ZIP格式的用户面临的共同风险。
浙公网安备 33010502007447号