Zombie ZIP обходит 95% антивирусов с помощью 12 строк кода

Zombie ZIP обходит 95% антивирусов: 12 строк кода прячут вредонос в «несжатом» архиве

Исследователь в области кибербезопасности обнаружил простой, но эффективный способ обхода антивирусов — уязвимость Zombie ZIP. Достаточно создать ZIP-архив с некорректным заголовком, указав, что данные внутри не сжаты. Антивирусы считают такой контент случайным шумом и не проверяют его. Из 63 антивирусных движков атаку не заметили 60. WinRAR и 7-Zip тоже не могут открыть такой архив, считая его повреждённым. Однако специальный скрипт всего из 12 строк на Python извлекает скрытые данные. Проблеме присвоен идентификатор CVE-2026-0866.

Кибербезопасность становится всё сложнее, но иногда самые опасные уязвимости оказываются удивительно простыми. Уязвимость Zombie ZIP, обнаруженная независимым исследователем, демонстрирует именно такой случай.

Идея основана на том, как антивирусы обрабатывают ZIP-архивы. В заголовке архива содержится информация о типе сжатия. Если указать, что данные не сжаты, большинство антивирусных движков просто пропускают такой файл. Для них содержимое выглядит как случайные байты, которые невозможно сопоставить с сигнатурами известных вредоносов. Эффективность метода шокирует: из 63 протестированных антивирусов атаку не заметили 60. Это более 95 процентов. Уязвимости присвоен официальный идентификатор CVE-2026-0866.

При этом обычные архиваторы вроде 7-Zip и WinRAR тоже не могут открыть такой файл — он считается повреждённым. Однако автор уязвимости написал небольшой скрипт на Python (всего 12 строк кода), который восстанавливает корректную структуру и извлекает скрытые данные.

Пока антивирусные компании не выпустят обновления, способные обнаруживать атаки класса Zombie ZIP, пользователям рекомендуется проявлять особую осторожность с архивными файлами из непроверенных источников. Технически это не ошибка в алгоритмах сжатия, а слепое пятно в логике работы защитного ПО — и оно остаётся открытым.