Zombie ZIP 漏洞披露：让 WinRAR/7-Zip 解压报错，已伪装绕过 50 款主流杀软

Zombie ZIP漏洞披露：让WinRAR/7-Zip解压报错，已伪装绕过50款主流杀软

最近，网络安全圈被一项名为“Zombie ZIP”的新型攻击技术搅动。Bombadil Systems的研究员Chris Aziz最新披露的这项技术，利用了一个狡猾的漏洞，不仅能成功绕过VirusTotal平台上多达50款主流杀毒引擎的检测，还能让WinRAR、7-Zip这类常规解压工具在打开文件时报错，从而掩护真正的恶意代码执行。

根据技术博文的介绍，该漏洞被追踪为CVE-2026-0866，其设计初衷就是为了专门规避杀毒软件和终端检测与响应系统。从结果来看，它几乎在扫描器面前实现了“完全隐身”，这背后的原理颇值得玩味。

盲目的信任：漏洞核心在字段欺骗

问题的根源，出在安全工具对ZIP文件结构的“盲目信任”上。通常，杀毒引擎会读取ZIP文件的“Method”字段（即压缩方式）来判断如何处理内容。攻击者正是钻了这个空子：他们故意将该字段设置为“0”，这代表“STORED”，即文件未经压缩。

但事实却截然相反——文件内的数据实际上经过了DEFLATE算法压缩。这样一来，当安全工具按“未压缩”的声明去解析一堆经过压缩的数据时，读到的只能是一堆混乱无章的“压缩噪音”。这直接导致了一个严重结果：引擎无法从中匹配到任何已知的恶意软件特征码，最终只能无奈地将其标记为安全文件。

双重伪装：不仅隐身，还要制造障碍

更狡猾的是，这项技术不止于“隐身”。为了进一步隐藏踪迹并干扰分析，攻击者还会故意在文件中埋下解压障碍。具体来说，他们会把用于确保数据完整性的CRC校验值，设置为文件在“未压缩”状态下的校验和。

这就引发了一个矛盾的局面：常规解压工具（如WinRAR、7-Zip）按照文件头信息尝试解压时，会因为校验和不匹配而直接报错，或提示文件已损坏。普通用户看到错误提示，很可能就直接放弃了，以为这只是一个破损的无用文件。

然而，黑客手里握有“钥匙”。他们会使用专门定制的加载器，这个工具能够直接忽略伪造的文件头信息，正确解压并释放出隐藏在噪音之下的恶意代码。这样一来，恶意载荷便神不知鬼不觉地绕过了所有常规防线。目前，研究人员已在GitHub上公开了相关的概念验证代码及样本。

历史重演？官方建议验证机制需升级

鉴于该漏洞的严重威胁，计算机应急响应小组协调中心已于昨日正式发布安全公告，确认了CVE-2026-0866编号。有意思的是，CERT/CC在公告中指出，这个漏洞与二十多年前影响早期ESET杀毒软件的一个老漏洞（CVE-2004-0935）高度相似，这仿佛是一次安全威胁的“历史重演”。

那么，如何防御这种“僵尸压缩包”呢？CERT/CC给出的建议直指核心：安全工具供应商必须升级检测逻辑，不能单纯信任文件头声明。关键措施在于，将压缩方式字段与实际的数据内容进行交叉验证，并增强对结构异常压缩包的识别机制。换句话说，安全软件需要学会“亲眼查看”而不仅是“听信标签”。