安全圈最近冒出个叫“Zombie ZIP”的新招数,专门用来糊弄杀毒软件和EDR这些工具。这个手段很巧妙,能把恶意代码藏在特制的压缩包里。比如你用WinRAR或者7-Zip去解压它,多半会报错,要么就是数据乱七八糟。 这到底咋回事?原来它是在ZIP的文件头上面动手脚。它把压缩方式字段写成Method=0(STORED模式),这样就让解析引擎以为这是个原始文件,根本没压缩。安全工具一看这个设置,就信以为真了,也就懒得细查压缩包里的数据了。结果它们看到的全是乱码,根本找不到病毒特征码。 这招是Bombadil Systems的研究员Chris Aziz琢磨出来的。他还专门测了一下VirusTotal上的51款杀毒引擎,发现有50款都被这招给骗过了。Aziz解释说:“其实这东西就是把压缩后的数据当未压缩的字节去扫描。”他还在GitHub上放了个证明例子,详细讲了其中的门道。 不过想要让7-Zip这类软件报错还得费点心思。必须把用来保证数据完整的CRC值改成原始未压缩文件的校验和才行。但要是写个专门的加载器来忽略声明的方式,直接按标准的Deflate算法解压,还是能把载荷给完整还原出来的。 昨天CERT/CC(协调中心)发了个警告,提醒大家注意这种畸形压缩包带来的风险。他们说虽然这种文件头能骗人眼,但有些工具还是能正常解压的。这个问题已经拿到了CVE编号CVE-2026-0866。CERT/CC还提到这跟二十年前那个老漏洞CVE-2004-0935很像,那时候早期版本的ESET杀毒软件就出过问题。 CERT/CC建议厂商要根据实际数据去核实那个压缩方式字段,再加上些机制来检测结构对不对。用户也得多个心眼,特别是别轻易点陌生联系人发来的压缩包。如果一解压就跳出“不支持的方式”错误,那赶紧把它删了吧!