【安全资讯】新型'僵尸ZIP'技术使恶意软件绕过安全工具检测

概要：

网络安全领域近日出现一种名为“僵尸ZIP”的新型攻击技术，该技术通过巧妙构造压缩文件头部信息，能够有效规避主流杀毒软件和端点检测与响应（EDR）产品的扫描。这一技术利用了安全工具对ZIP文件格式的信任，将压缩数据伪装成未压缩数据，从而隐藏恶意载荷，对全球范围内的企业和个人用户构成了新的数据安全威胁。

主要内容：

该技术由安全研究员Chris Aziz发现，其核心在于篡改ZIP文件的头部信息，特别是“压缩方法”字段。安全引擎在解析ZIP文件时，会信任该字段的声明。当该字段被设置为0（即STORED，表示未压缩）时，安全工具会将文件内的数据当作原始未压缩字节流进行扫描。然而，实际数据却是经过DEFLATE算法压缩的。因此，扫描器看到的是一堆无意义的压缩“噪声”，无法匹配到已知的恶意软件特征签名。

攻击者可以制作一个特殊的加载器（loader），该加载器会忽略被篡改的头部信息，直接使用标准的DEFLATE算法解压数据，从而完美还原出隐藏的恶意载荷。Aziz的研究表明，该技术能够成功绕过VirusTotal平台上51款杀毒引擎中的50款。同时，为了干扰普通解压工具（如7-Zip、WinRAR），攻击者还会将用于校验数据完整性的CRC值设置为未压缩载荷的校验和，导致常规解压失败或报错。

CERT/CC已为此发布了安全公告（CVE-2026-0866），并指出该问题与二十多年前影响ESET早期版本的一个漏洞（CVE-2004-0935）类似。该机构建议安全厂商应验证压缩方法字段与实际数据的一致性，并增强对压缩包结构异常性的检测。对于用户而言，应谨慎处理来源不明的压缩文件，若解压时出现“不支持的方法”等错误，应立即删除该文件。