近日，一种名为“Zombie ZIP”（僵尸ZIP）的新型攻击技术引发关注。该技术通过精心构造压缩文件，能够有效规避杀毒软件和端点检测与响应系统的扫描，将恶意 payload 隐藏其中。

安全研究人员发现，当使用WinRAR或7-Zip等常见解压工具尝试打开这些特殊构造的文件时，系统会报错或提示文件损坏。其原理在于，攻击者操纵了ZIP文件格式中的头部信息，诱使安全解析引擎错误地将已压缩的数据识别为未压缩状态。

由于安全工具信任文件头部声明的“存储”模式，会直接对文件内容进行扫描，但实际上这些内容是经过Deflate算法压缩的“噪音”数据，其中不包含任何可识别的恶意代码签名，从而得以蒙混过关。

该技术由安全公司Bombadil Systems的研究员Chris Aziz发现。测试显示，在VirusTotal上的51款杀毒引擎中，有50款均被此方法绕过。Aziz已在GitHub上公布了概念验证代码和样本文件，以警示业界。

要造成普通解压工具报错，关键在于故意设置错误的CRC校验值。然而，一个为此量身定制的恶意程序加载器，会忽略文件头部的错误声明，直接对数据按Deflate算法进行解压，从而完美恢复出原始的恶意 payload。

美国CERT协调中心已就此发布警告，并将此问题编号为CVE-2026-0866。该机构指出，此问题与二十多年前ESET杀毒软件中的一个漏洞（CVE-2004-0935）有相似之处。

CERT/CC建议，安全软件厂商应验证压缩方法与实际数据是否一致，并增加检测归档文件结构不一致性的机制。对于普通用户，则需谨慎处理来历不明的压缩文件，若在解压时遇到“不支持的压缩方法”等错误，应立即删除该文件。

资讯来源：BleepingComputer

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！