Чем грозит Zombie ZIP: почему 60 из 63 антивирусов его «не видят»
Современная кибервойна, включающая разработку средств защиты и нападения, достигла пика сложности. Нередко для обнаружения слабых мест в программном или аппаратном обеспечении требуется создание весьма изощренных инструментов. Однако даже в 2026 году можно столкнуться с простыми недочетами, как, например, недавняя находка Zombie ZIP. Она позволяет вредоносному коду обходить практически все существующие антивирусные системы. Принцип работы крайне…

Современная кибервойна, включающая разработку средств защиты и нападения, достигла пика сложности. Нередко для обнаружения слабых мест в программном или аппаратном обеспечении требуется создание весьма изощренных инструментов. Однако даже в 2026 году можно столкнуться с простыми недочетами, как, например, недавняя находка Zombie ZIP. Она позволяет вредоносному коду обходить практически все существующие антивирусные системы.
Принцип работы крайне незамысловат. Первая часть ZIP-файла - заголовок - содержит сведения о контенте и методе его сжатия. Если создать ZIP-архив, который ложно утверждает, что данные не сжаты, тогда как на самом деле они сжаты, подавляющее большинство антивирусов останутся незамеченными. Для такого программного обеспечения «несжатые» данные предстают как случайный набор байтов, не соответствующий известным сигнатурам вредоносных программ. Как поется в «Мире Дикого Запада»: «Для меня это не имеет смысла».
На момент написания, через шесть дней после обнародования информации об этой уязвимости, 60 из 63 популярных антивирусных пакетов не смогли распознать этот, образно говоря, трюк, демонстрируя эффективность более 95%. Обычные утилиты, вроде 7-Zip или WinRAR, не смогут распаковать такой архив, ведь он технически поврежден. Однако его можно легко объединить с небольшой, на первый взгляд безобидной программой, которая распознает это несоответствие и извлекает реальное вредоносное ПО. Исследователь, обнаруживший уязвимость, опубликовал рабочий пример на Python, состоящий всего из дюжины строк кода. Это само по себе вызывает беспокойство для обычного пользователя, но может обернуться настоящим кошмаром для компаний с тысячами сотрудников и конфиденциальной информацией.
Если возникает вопрос, почему антивирусы не блокируют загрузочные скрипты, причина кроется в вероятности огромного количества ложных срабатываний. Ведь загрузка архивированных данных - обычная операция для многих программ, включая, но не ограничиваясь, компьютерные игры. CERT уже занимается этим вопросом и выпустил консультативное сообщение VU#976247. Также этому инциденту присвоен идентификатор CVE-2026-0866. Пока системы безопасности не адаптируются, системным администраторам следует проявлять особую осторожность при работе с ZIP-файлами, циркулирующими в их сетях.