哦对了,安全圈最近出了个“Zombie ZIP”的新技术,这玩意儿可把恶意软件搞大了,直接绕过了杀毒软件和EDR系统。主要是通过把压缩包伪装成未压缩的样子,让工具们看不懂。比如你用WinRAR或者7-Zip去解压这种文件,经常会出问题,要么报错要么数据坏掉。这就是因为恶意软件把ZIP文件头给改了,骗解析引擎把压缩的数据当成原始的来处理。所以安全工具就以为这是个安全的文件,直接扫描里面的东西了。 你猜这个招数是谁弄出来的?Aziz啊,Bombadil Systems的安全研究员Chris Aziz。他发现这个招数在VirusTotal上能绕过51款杀毒引擎里的50款呢!因为杀毒引擎太信任ZIP的Method字段了。Method=0代表存储模式,它们就会把数据当未压缩的来扫描。结果呢?这数据其实是用DEFLATE压缩过的乱码。扫描器看到的就是一堆乱码,根本找不到特征码。 威胁分子要是制作一个忽略头信息的加载器,就能直接按实际情况解压文件了。比如使用Deflate算法压缩的数据。Aziz还在GitHub上放了个PoC(概念验证),给大家看了看这种压缩包到底是怎么回事儿。 要让主流解压工具报错还挺麻烦的,得把CRC值设成未压缩载荷的校验和才行。但专门写的加载器可以不管这一套直接用Deflate解出来。CERT协调中心昨天就发布了公告提醒大家注意这种畸形压缩包带来的风险。 CVE编号都已经给出来了,CVE-2026-0866。这事儿和以前那个CVE-2004-0935挺像的,影响早期版本的ESET杀毒软件。CERT建议厂商们必须根据实际数据验证Method字段,添加检测结构不一致的机制才行。用户也得小心点了,别乱点陌生的压缩文件哦!