文章总结： 新型ZombieZIP攻击技术通过操纵ZIP文件头部信息，诱使杀毒引擎错误识别压缩状态，从而规避检测。该技术在VirusTotal测试中绕过50款杀毒引擎，已被编号为CVE-2026-0866。CERT建议安全厂商验证压缩方法与实际数据一致性，用户应谨慎处理来历不明的压缩文件。 综合评分： 69 文章分类： 漏洞预警,漏洞分析,恶意软件,安全建设

新型“Zombie ZIP”：利用压缩格式歧义绕过杀毒引擎检测

看雪学苑 看雪学苑

看雪学苑

2026年3月12日 17:59 上海

近日，一种名为“Zombie ZIP”（僵尸ZIP）的新型攻击技术引发关注。该技术通过精心构造压缩文件，能够有效规避杀毒软件和端点检测与响应系统的扫描，将恶意 payload 隐藏其中。

安全研究人员发现，当使用WinRAR或7-Zip等常见解压工具尝试打开这些特殊构造的文件时，系统会报错或提示文件损坏。其原理在于，攻击者操纵了ZIP文件格式中的头部信息，诱使安全解析引擎错误地将已压缩的数据识别为未压缩状态。

由于安全工具信任文件头部声明的“存储”模式，会直接对文件内容进行扫描，但实际上这些内容是经过Deflate算法压缩的“噪音”数据，其中不包含任何可识别的恶意代码签名，从而得以蒙混过关。

该技术由安全公司Bombadil Systems的研究员Chris Aziz发现。测试显示，在VirusTotal上的51款杀毒引擎中，有50款均被此方法绕过。Aziz已在GitHub上公布了概念验证代码和样本文件，以警示业界。

要造成普通解压工具报错，关键在于故意设置错误的CRC校验值。然而，一个为此量身定制的恶意程序加载器，会忽略文件头部的错误声明，直接对数据按Deflate算法进行解压，从而完美恢复出原始的恶意 payload。

美国CERT协调中心已就此发布警告，并将此问题编号为CVE-2026-0866。该机构指出，此问题与二十多年前ESET杀毒软件中的一个漏洞（CVE-2004-0935）有相似之处。

CERT/CC建议，安全软件厂商应验证压缩方法与实际数据是否一致，并增加检测归档文件结构不一致性的机制。对于普通用户，则需谨慎处理来历不明的压缩文件，若在解压时遇到“不支持的压缩方法”等错误，应立即删除该文件。

资讯来源：BleepingComputer

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《新型“Zombie ZIP”：利用压缩格式歧义绕过杀毒引擎检测》