新闻
3月11日,网络安全公司 Bombadil Systems 研究员 Chris Aziz 公开披露新型漏洞技术“Zombie ZIP”,可绕过 VirusTotal 平台上 50 款主流杀毒引擎检测,利用 WinRAR、7-Zip 等常规解压工具在处理异常 ZIP 文件时的报错行为执行恶意代码。
漏洞编号与隐蔽性
该漏洞已获官方编号 CVE-2026-0866,专为规避杀毒软件及终端检测与响应(EDR)系统设计,在 VirusTotal 平台实现近乎完全“隐身”。
技术原理
攻击者利用杀毒引擎对 ZIP 文件“Method”(压缩方式)字段的盲目信任:将字段设为“0”(STORED,即未压缩),但实际数据采用 DEFLATE 压缩。安全工具扫描后仅读取到无意义的“压缩噪音”,无法匹配特征码,误判为安全文件。
伪装与执行机制
为增强隐蔽性,攻击者还将 CRC 校验值设为未压缩状态下的校验和,导致 WinRAR、7-Zip 等工具解压时报错或提示数据损坏;而定制加载器可跳过伪造文件头,直接解压并释放恶意代码。相关概念验证(PoC)及样本已在 GitHub 公开。
官方响应与建议
计算机应急响应小组协调中心(CERT/CC)已发布安全公告,确认该漏洞与二十多年前影响早期 ESET 杀毒软件的 CVE-2004-0935 高度相似。CERT/CC 建议安全厂商加强压缩字段与实际数据的交叉验证,并增加对结构异常 ZIP 文件的识别能力。