9 марта 2025 г. исследователи Bombadil Systems зафиксировали новый метод обхода антивирусного ПО: уязвимость Zombie ZIP (CVE-2026-0866) позволяет вредоносному коду избегать обнаружения в 95% случаев, манипулируя метаданными архивов.

Как работает метод атаки. Вирус изменяет метаданные ZIP-архива, указывая, что содержимое не сжато (метод хранения — нулевой), но помещает внутрь данные, сжатые алгоритмом DEFLATE. Антивирусы читают заголовок, воспринимают данные как случайный набор байтов и пропускают файл без глубокого анализа содержимого.

Тестовые результаты. Bombadil Systems проверили 63 антивирусных решения. 60 продуктов не распознали угрозу. Остальные три отразили лишь два процента попыток. На VirusTotal Engines исследователи зафиксировали уровень уклонения около 98 процентов.

Поведение архиваторов. Стандартные программы 7-Zip и WinRAR отклоняют такие архивы как повреждённые. Системный распаковщик Windows и некоторые альтернативные инструменты извлекают содержимое без предупреждений, открывая путь для вредоносного ПО.

Статус вендоров. По данным CERT/CC, большинство международных и российских производителей (Kaspersky, ESET, Dr.Web) находятся в статусе «Неизвестно» и не выпустили патчи к моменту публикации.

Рекомендации. Организациям следует блокировать вложения ZIP на шлюзах почты, включить динамический анализ файлов в изолированных средах и требовать от поставщиков обновление сигнатур, способных проверять содержимое независимо от заголовков. Пользователям советуют загружать архивы только из проверенных источников и избегать их распаковки без предварительного сканирования.

Что дальше. В ближайшие недели производители антивирусов планируют адаптировать движки обнаружения и выпустить обновления, способные проверять реальное содержимое архивов независимо от метаданных. До этого момента пользователям следует сохранять особую осторожность при работе с ZIP-файлами из непроверенных источников.