Уязвимость Zombie ZIP позволяет вредоносному ПО обходить 95% антивирусных решений

/ ТехнологииНовости / Технологии

Гонка вооружений в сфере кибербезопасности и контрмер достигла невероятной сложности. Чаще всего для поиска уязвимости в программном или аппаратном обеспечении требуется создание тщательно продуманных конструкций. Однако даже в 2026 году иногда обнаруживаются простые уязвимости, подобные недавно опубликованной Zombie ZIP, которая позволяет вредоносным нагрузкам обходить почти все распространённые антивирусные решения.

Концепция предельно проста. Первая часть ZIP-файла называется заголовком и содержит информацию о содержимом и способе сжатия. Если создать ZIP-архив, который лжёт, утверждая, что содержимое не сжато, хотя на самом деле оно сжато, большинство антивирусных решений даже не моргнут глазом.

Изображение: TSMC

Для такого ПО «несжатые» данные выглядят как случайные байты и, следовательно, не совпадают с известными сигнатурами вредоносных программ. Цитируя «Мир дикого запада»: «Для меня это ни на что не похоже». На момент написания этой статьи, спустя шесть дней после публикации информации об уязвимости, 60 из 63 распространённых антивирусных пакетов не обнаруживают этот, образно говоря, фокус — уровень успеха составляет чуть более 95%.

Архив не удастся извлечь с помощью обычных инструментов, таких как 7-Zip или WinRAR, поскольку он технически повреждён. Однако его легко объединить с небольшой, на первый взгляд безобидной программой, которая понимает это несоответствие и извлекает реальное вредоносное ПО.

Исследователь, обнаруживший уязвимость, опубликовал доказательство концепции на Python, которое требует примерно дюжину строк кода. Это достаточно тревожно для обычного пользователя, но может стать кошмарным сценарием для корпораций с тысячами пользователей и конфиденциальными данными.

Если вы задаётесь вопросом, почему антивирусные решения не будут просто нацеливаться на загрузочные скрипты, то причина в том, что количество ложных срабатываний почти наверняка будет огромным, поскольку загрузка заархивированных данных — очень распространённая операция в большинстве программ, включая, но не ограничиваясь, игры.

CERT уже занимается этим вопросом и опубликовал консультативное сообщение VU#976247. Аналогично, уже присвоен идентификатор CVE-2026-0866. Пока системы безопасности не догонят, системным администраторам следует быть особенно осторожными с ZIP-файлами, перемещающимися по их сетям.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии