一種名為「殭屍 ZIP」的新技術有助於將有效載荷隱藏在專門創建的壓縮檔案中，以避免被防毒軟體和端點偵測與回應 (EDR) 產品等安全解決方案偵測到。嘗試使用 WinRAR 或 7-Zip 等標準工具解壓縮檔案會導致錯誤或資料損壞。該技術的工作原理是篡改 ZIP 檔案頭，欺騙解析引擎將壓縮資料視為未壓縮資料。

安全工具不會將壓縮檔案標記為潛在危險，而是信任其頭部訊息，並將檔案視為 ZIP 容器中原始檔案的副本進行掃描。

「Zombie ZIP」技術是由Bombadil Systems的安全研究員Chris Aziz設計的，他發現該技術可以對抗VirusTotal上的51個防毒引擎中的50個。

研究人員解釋：「防毒引擎信任 ZIP 方法欄位。當 Method=0（儲存）時，它們會將資料作為原始未壓縮位元組進行掃描。但實際上資料是經過 DEFLATE 壓縮的——因此掃描器看到的是壓縮噪聲，找不到任何特徵碼」。

威脅行為者可以建立一個載入器，忽略標頭並將歸檔檔案視為其本來面目：使用現代 ZIP 檔案中使用的標準 Deflate 演算法壓縮的資料。

該研究人員已在 GitHub 上發布了概念驗證 (PoC)，分享了範例存檔和有關該方法如何運作的更多詳細資訊。研究人員表示，要使流行的提取工具（例如 7-Zip、unzip、WinRAR）產生錯誤，必須將確保資料完整性的 CRC 值設定為未壓縮有效載荷的校驗和。Aziz 說：「專門設計的載入器可以忽略聲明的方法，並以 DEFLATE 方式解壓縮，從而完美地恢復有效載荷。」

昨天，CERT協調中心（CERT/CC）發佈公告，警告「殭屍ZIP」文件，並提高人們對格式錯誤的存檔文件所帶來的風險的認識。雖然格式錯誤的標頭可能會欺騙安全解決方案，但該機構表示，一些提取工具仍然能夠正確解壓縮 ZIP 檔案。

該安全問題已被分配了 CVE-2026-0866 標識符，該機構表示，該問題與二十多年前披露的漏洞 CVE-2004-0935 類似，後者影響了 ESET 防毒產品的早期版本。CERT/CC 建議安全工具供應商必須根據實際資料驗證壓縮方法字段，添加檢測歸檔結構不一致性的機制，並實施更積極的歸檔檢查模式。

使用者應謹慎處理存檔文件，尤其是來自未知聯絡人的文件，如果嘗試解壓縮時出現「不支援的方法」錯誤，應立即刪除這些文件。下圖是WinRAR及7.zip的版本資訊，使用者可以檢查手上安裝的版本，建議更新到最新版本。

資料來源：https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/