Вирусы в ZIP-файлах научились прятать от антивирусов, но есть нюанс

Сейчас такой трюк не обнаруживают 60 из 63 антивирусов.

Исследователи безопасности обнаружили уязвимость ZIP-файлов, позволяющую злоумышленникам прятать в них зараженное ПО так, чтобы на него не реагировала большая часть антивирусов. Уязвимость назвали Zombie ZIP.

Суть уязвимости связана с архитектурой ZIP-файлов. Каждый такой файл начинается с служебного заголовка, описывающего внутренние данные и их сжатие; для реализации уязвимости создается архив, который в заголовке указывает, что данные не сжаты, хотя фактически они сжаты.

Из-за этого антивирусы считают, что архив невалиден, и не проводят его анализ. Через 6 дней после того, как об уязвимости стало известно, Zombie ZIP не обнаруживался 60 из 63 проверенных антивирусов.

Правда, есть нюанс: приложения-архиваторы тоже считают такой файл поврежденным и не могут извлечь из него данные. Однако злоумышленнику достаточно прокинуть на систему исполняемый файл, который сможет поправить архив и извлечь из него данные.

Предполагается, что антивирусы не среагируют на такую связку. Об использовании уязвимости реальными взломщиками пока не сообщалось, сложно сказать, насколько такая оценка соответствует действительности.